Geavanceerde zoekquery's migreren van Microsoft Defender voor Eindpunt

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum. Ontdek wat er nieuw is.

Van toepassing op:

  • Microsoft 365 Defender

Verplaats uw geavanceerde zoekwerkstromen van Microsoft Defender voor Eindpunt om proactief te zoeken naar bedreigingen met een bredere set gegevens. In Microsoft 365 Defender krijgt u toegang tot gegevens van andere Microsoft 365 beveiligingsoplossingen, waaronder:

  • Microsoft Defender voor Eindpunt
  • Microsoft Defender voor Office 365
  • Microsoft Cloud App Security
  • Microsoft Defender for Identity

Notitie

De meeste Klanten van Microsoft Defender voor Eindpunten kunnen Microsoft 365 Defender zonder extra licenties. Als u wilt beginnen met de overgang van uw geavanceerde werkstromen voor jagen vanuit Defender voor eindpunt, schakelt u Microsoft 365 Defender.

U kunt overstappen zonder dat dit van invloed is op uw bestaande Defender voor Eindpunt-werkstromen. Opgeslagen query's blijven intact en aangepaste detectieregels blijven worden uitgevoerd en waarschuwingen worden gegenereerd. Ze zijn echter zichtbaar in Microsoft 365 Defender.

Alleen tabellen in Microsoft 365 Defender schema

Het Microsoft 365 Defender geavanceerde schema voor jagen bevat aanvullende tabellen met gegevens uit verschillende Microsoft 365 beveiligingsoplossingen. De volgende tabellen zijn alleen beschikbaar in Microsoft 365 Defender:

Tabelnaam Omschrijving
AlertEvidence Bestanden, IP-adressen, URL's, gebruikers of apparaten die zijn gekoppeld aan waarschuwingen
AlertInfo Waarschuwingen van Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Cloud App Security en Microsoft Defender voor identiteit, inclusief ernstsinformatie en bedreigingscategorieën
EmailAttachmentInfo Informatie over bestanden die zijn gekoppeld aan e-mailberichten
EmailEvents Microsoft 365 e-mailgebeurtenissen, waaronder e-mailbezorging en het blokkeren van gebeurtenissen
EmailPostDeliveryEvents Beveiligingsgebeurtenissen die zich voordoen na de bezorging, nadat Microsoft 365 e-mailberichten heeft bezorgd bij het postvak van de geadresseerde
EmailUrlInfo Informatie over URL's in e-mailberichten
IdentityDirectoryEvents Gebeurtenissen met een on-premises domeincontroller met Active Directory (AD). Deze tabel bestrijkt een reeks identiteitsgerelateerde gebeurtenissen en systeemgebeurtenissen op de domeincontroller.
IdentityInfo Accountgegevens uit verschillende bronnen, waaronder Azure Active Directory
IdentityLogonEvents Verificatiegebeurtenissen in Active Directory- en Microsoft-onlineservices
IdentityQueryEvents Query's voor Active Directory-objecten, zoals gebruikers, groepen, apparaten en domeinen

Belangrijk

Query's en aangepaste detecties die schematabellen gebruiken die alleen beschikbaar zijn in Microsoft 365 Defender kunnen alleen worden weergegeven in Microsoft 365 Defender.

Map DeviceAlertEvents table

De AlertInfo tabel en tabellen worden vervangen in het Schema van Microsoft Defender voor AlertEvidence DeviceAlertEvents eindpunt. Naast gegevens over apparaatwaarschuwingen bevatten deze twee tabellen gegevens over waarschuwingen voor identiteiten, apps en e-mailberichten.

Gebruik de volgende tabel om te controleren hoe DeviceAlertEvents kolommen worden toe te schrijven aan kolommen in de en AlertInfo AlertEvidence tabellen.

Tip

Naast de kolommen in de volgende tabel bevat de tabel veel andere kolommen die een meer holistisch beeld geven van AlertEvidence waarschuwingen uit verschillende bronnen. Alle kolommen van AlertEvidence bekijken

Kolom DeviceAlertEvents Waar vindt u dezelfde gegevens in Microsoft 365 Defender
AlertId AlertInfo en AlertEvidence tabellen
Timestamp AlertInfo en AlertEvidence tabellen
DeviceId AlertEvidence tabel
DeviceName AlertEvidence tabel
Severity AlertInfo tabel
Category AlertInfo tabel
Title AlertInfo tabel
FileName AlertEvidence tabel
SHA1 AlertEvidence tabel
RemoteUrl AlertEvidence tabel
RemoteIP AlertEvidence tabel
AttackTechniques AlertInfo tabel
ReportId Deze kolom wordt meestal gebruikt in Microsoft Defender voor Eindpunt om gerelateerde records in andere tabellen te zoeken. In Microsoft 365 Defender kunt u gerelateerde gegevens rechtstreeks uit de AlertEvidence tabel halen.
Table Deze kolom wordt meestal gebruikt in Microsoft Defender voor Eindpunt voor aanvullende gebeurtenisgegevens in andere tabellen. In Microsoft 365 Defender kunt u gerelateerde gegevens rechtstreeks uit de AlertEvidence tabel halen.

Bestaande Microsoft Defender voor eindpuntquery's aanpassen

Microsoft Defender voor eindpuntquery's werken zoals ze zijn, tenzij ze verwijzen naar de DeviceAlertEvents tabel. Als u deze query's in Microsoft 365 Defender wilt gebruiken, moet u de volgende wijzigingen toepassen:

  • Vervangen DeviceAlertEvents door AlertInfo .
  • Sluit u AlertInfo aan bij de tabellen en aan om AlertEvidence AlertId equivalente gegevens te krijgen.

Oorspronkelijke query

De volgende query wordt gebruikt in Microsoft Defender voor Eindpunt om de waarschuwingen te DeviceAlertEvents krijgen die betrekking hebben op powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Gewijzigde query

De volgende query is aangepast voor gebruik in Microsoft 365 Defender. In plaats van de bestandsnaam rechtstreeks vandaan te controleren, wordt de bestandsnaam in die tabel toegevoegd en gecontroleerd DeviceAlertEvents AlertEvidence op de bestandsnaam.

AlertInfo 
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" 
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Aangepaste detectieregels migreren

Wanneer microsoft Defender voor eindpuntregels worden bewerkt op Microsoft 365 Defender, blijven ze werken zoals voorheen als de resulterende query alleen naar apparaattabellen kijkt.

Waarschuwingen die worden gegenereerd door aangepaste detectieregels die alleen apparaattabellen bevragen, blijven bijvoorbeeld bezorgd bij uw SIEM en genereren e-mailmeldingen, afhankelijk van hoe u deze hebt geconfigureerd in Microsoft Defender voor Eindpunt. Bestaande onderdrukkingsregels in Defender voor Eindpunt blijven ook van toepassing.

Nadat u een Defender voor Eindpunt-regel hebt bewerkt, zodat identiteits- en e-mailtabellen worden opgevraagd, die alleen beschikbaar zijn in Microsoft 365 Defender, wordt de regel automatisch verplaatst naar Microsoft 365 Defender.

Waarschuwingen gegenereerd door de gemigreerde regel:

  • Zijn niet meer zichtbaar in de Defender for Endpoint-portal (Microsoft Defender-beveiligingscentrum)
  • Stop met leveren aan uw SIEM of genereer e-mailmeldingen. Als u deze wijziging wilt aanpassen, configureert u meldingen via Microsoft 365 Defender om de waarschuwingen te ontvangen. U kunt de Microsoft 365 Defender API gebruiken om meldingen te ontvangen voor waarschuwingen voor klantdetectie of gerelateerde incidenten.
  • Wordt niet onderdrukt door microsoft Defender voor endpoint-onderdrukkingsregels. Als u wilt voorkomen dat waarschuwingen worden gegenereerd voor bepaalde gebruikers, apparaten of postvakken, wijzigt u de bijbehorende query's om deze entiteiten expliciet uit te sluiten.

Als u een regel op deze manier bewerkt, wordt u gevraagd om bevestiging voordat dergelijke wijzigingen worden toegepast.

Nieuwe waarschuwingen die worden gegenereerd door aangepaste detectieregels in Microsoft 365 Defender portal, worden weergegeven op een waarschuwingspagina met de volgende informatie:

  • Waarschuwingstitel en beschrijving
  • Beïnvloede activa
  • Acties die zijn ondernomen in reactie op de waarschuwing
  • Queryresultaten die de waarschuwing hebben geactiveerd
  • Informatie over de aangepaste detectieregel

Afbeelding van de nieuwe waarschuwingspagina.

Query's schrijven zonder DeviceAlertEvents

In het Microsoft 365 Defender schema worden de tabellen en tabellen verstrekt om tegemoet te komen aan de diverse set informatie die bij AlertInfo waarschuwingen van verschillende bronnen AlertEvidence past.

Als u dezelfde waarschuwingsgegevens wilt ontvangen die u hebt gebruikt om uit de tabel in het Microsoft Defender for Endpoint-schema te komen, filtert u de tabel op en voegt u vervolgens elke unieke id toe aan de tabel, die gedetailleerde gebeurtenis- en entiteitsgegevens DeviceAlertEvents AlertInfo ServiceSource AlertEvidence bevat.

Zie de voorbeeldquery hieronder:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Deze query levert veel meer kolommen op dan DeviceAlertEvents in het Schema van Microsoft Defender voor eindpunt. Als u de resultaten beheersbaar wilt houden, project gebruikt u alleen de kolommen waarin u geïnteresseerd bent. In het onderstaande voorbeeld ziet u kolommen waarin u mogelijk geïnteresseerd bent wanneer tijdens het onderzoek PowerShell-activiteit is gedetecteerd:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine 

Als u wilt filteren op specifieke entiteiten die betrokken zijn bij de waarschuwingen, kunt u dit doen door het entiteitstype in op te geven en de waarde op te geven die u EntityType wilt filteren. In het volgende voorbeeld wordt naar een specifiek IP-adres op zoek:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId 
| where EntityType == "Ip" and RemoteIP == "192.88.99.01" 

Zie ook