Перенос расширенных запросов на охоту из Microsoft Defender для конечной точкиMigrate advanced hunting queries from Microsoft Defender for Endpoint

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Переместите расширенные процессы охоты из Microsoft Defender для конечной точки, чтобы активно искать угрозы с помощью более широкого набора данных.Move your advanced hunting workflows from Microsoft Defender for Endpoint to proactively hunt for threats using a broader set of data. В Microsoft 365 Defender вы получаете доступ к данным из других Microsoft 365 решений безопасности, в том числе:In Microsoft 365 Defender, you get access to data from other Microsoft 365 security solutions, including:

  • Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint
  • Microsoft Defender для Office 365Microsoft Defender for Office 365
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Defender для удостоверенийMicrosoft Defender for Identity

Примечание

Большинство клиентов Microsoft Defender для конечных точек могут использовать Microsoft 365 Defender без дополнительных лицензий.Most Microsoft Defender for Endpoint customers can use Microsoft 365 Defender without additional licenses. Чтобы начать переход ваших расширенных процессов охоты из Defender для конечной точки, включите Microsoft 365 Defender.To start transitioning your advanced hunting workflows from Defender for Endpoint, turn on Microsoft 365 Defender.

Вы можете перейти, не затрагивая существующие рабочий процессы Defender для конечной точки.You can transition without affecting your existing Defender for Endpoint workflows. Сохраненные запросы остаются нетронутыми, а пользовательские правила обнаружения продолжают запускать и создавать оповещения.Saved queries remain intact, and custom detection rules continue to run and generate alerts. Однако они будут видны в Microsoft 365 Defender.They will, however, be visible in Microsoft 365 Defender.

Таблицы схемы только Microsoft 365 DefenderSchema tables in Microsoft 365 Defender only

Схема Microsoft 365 Defender предоставляет дополнительные таблицы, содержащие данные из различных Microsoft 365 безопасности.The Microsoft 365 Defender advanced hunting schema provides additional tables containing data from various Microsoft 365 security solutions. Следующие таблицы доступны только в Microsoft 365 Defender:The following tables are available only in Microsoft 365 Defender:

Имя таблицыTable name ОписаниеDescription
AlertEvidenceAlertEvidence Файлы, IP-адреса, URL-адреса, пользователи или устройства, связанные с оповещениямиFiles, IP addresses, URLs, users, or devices associated with alerts
AlertInfoAlertInfo Оповещения от Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Cloud App Security и Microsoft Defender для удостоверений, включая сведения о серьезности и категории угрозAlerts from Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity, including severity information and threat categories
EmailAttachmentInfoEmailAttachmentInfo Сведения о файлах, присоединенных к электронным письмамInformation about files attached to emails
EmailEventsEmailEvents Microsoft 365 событий электронной почты, включая доставку электронной почты и блокирование событийMicrosoft 365 email events, including email delivery and blocking events
EmailPostDeliveryEventsEmailPostDeliveryEvents События безопасности, которые происходят после доставки, Microsoft 365 после доставки сообщений электронной почты в почтовый ящик получателяSecurity events that occur post-delivery, after Microsoft 365 has delivered the emails to the recipient mailbox
EmailUrlInfoEmailUrlInfo Сведения об URL-адресах в электронных письмахInformation about URLs on emails
IdentityDirectoryEventsIdentityDirectoryEvents События с участием локального контроллера домена под управлением Active Directory (AD).Events involving an on-premises domain controller running Active Directory (AD). В этой таблице описывается ряд событий, связанных с удостоверением, и системных событий на контроллере домена.This table covers a range of identity-related events and system events on the domain controller.
IdentityInfoIdentityInfo Сведения об учетных записях из различных источников, включая Azure Active DirectoryAccount information from various sources, including Azure Active Directory
IdentityLogonEventsIdentityLogonEvents События проверки подлинности в службах Active Directory и Microsoft onlineAuthentication events on Active Directory and Microsoft online services
IdentityQueryEventsIdentityQueryEvents Запросы для объектов Active Directory, таких как пользователи, группы, устройства и доменыQueries for Active Directory objects, such as users, groups, devices, and domains

Важно!

Запросы и настраиваемые обнаружения, которые используют таблицы схем, доступные только в Microsoft 365 Defender, можно просмотреть только в Microsoft 365 Defender.Queries and custom detections which use schema tables that are only available in Microsoft 365 Defender can only be viewed in Microsoft 365 Defender.

Таблица Map DeviceAlertEventsMap DeviceAlertEvents table

Таблицы AlertInfo AlertEvidence и таблицы DeviceAlertEvents заменяют таблицу в схеме Microsoft Defender для конечной точки.The AlertInfo and AlertEvidence tables replace the DeviceAlertEvents table in the Microsoft Defender for Endpoint schema. Помимо данных о оповещениях о устройствах, эти две таблицы включают данные о оповещениях для удостоверений, приложений и электронных писем.In addition to data about device alerts, these two tables include data about alerts for identities, apps, and emails.

Используйте следующую таблицу, чтобы проверить, как столбцы сое всего мира сое and DeviceAlertEvents AlertInfo AlertEvidence tables.Use the following table to check how DeviceAlertEvents columns map to columns in the AlertInfo and AlertEvidence tables.

Совет

Помимо столбцов в следующей таблице, в таблице содержится множество других столбцов, которые предоставляют более целостную картину оповещений из AlertEvidence различных источников.In addition to the columns in the following table, the AlertEvidence table includes many other columns that provide a more holistic picture of alerts from various sources. См. все столбцы AlertEvidenceSee all AlertEvidence columns

Колонка DeviceAlertEventsDeviceAlertEvents column Где найти те же данные в Microsoft 365 DefenderWhere to find the same data in Microsoft 365 Defender
AlertId AlertInfo и AlertEvidence таблицыAlertInfo and AlertEvidence tables
Timestamp AlertInfo и AlertEvidence таблицыAlertInfo and AlertEvidence tables
DeviceId AlertEvidence таблицаAlertEvidence table
DeviceName AlertEvidence таблицаAlertEvidence table
Severity AlertInfo таблицаAlertInfo table
Category AlertInfo таблицаAlertInfo table
Title AlertInfo таблицаAlertInfo table
FileName AlertEvidence таблицаAlertEvidence table
SHA1 AlertEvidence таблицаAlertEvidence table
RemoteUrl AlertEvidence таблицаAlertEvidence table
RemoteIP AlertEvidence таблицаAlertEvidence table
AttackTechniques AlertInfo таблицаAlertInfo table
ReportId Этот столбец обычно используется в Microsoft Defender для конечной точки для поиска связанных записей в других таблицах.This column is typically used in Microsoft Defender for Endpoint to locate related records in other tables. В Microsoft 365 Defender можно получить соответствующие данные непосредственно из AlertEvidence таблицы.In Microsoft 365 Defender, you can get related data directly from the AlertEvidence table.
Table Этот столбец обычно используется в Microsoft Defender для конечной точки для получения дополнительных сведений о событиях в других таблицах.This column is typically used in Microsoft Defender for Endpoint for additional event information in other tables. В Microsoft 365 Defender можно получить соответствующие данные непосредственно из AlertEvidence таблицы.In Microsoft 365 Defender, you can get related data directly from the AlertEvidence table.

Настройка существующих запросов Microsoft Defender для запросов конечной точкиAdjust existing Microsoft Defender for Endpoint queries

Запросы Microsoft Defender для конечных точек будут работать как есть, если они не ссылатся на DeviceAlertEvents таблицу.Microsoft Defender for Endpoint queries will work as-is unless they reference the DeviceAlertEvents table. Чтобы использовать эти запросы в Microsoft 365 Defender, внесите эти изменения:To use these queries in Microsoft 365 Defender, apply these changes:

  • Замените DeviceAlertEvents AlertInfo .Replace DeviceAlertEvents with AlertInfo.
  • Присоединяйтесь AlertInfo к AlertEvidence таблицам и таблицам, чтобы получить AlertId эквивалентные данные.Join the AlertInfo and the AlertEvidence tables on AlertId to get equivalent data.

Исходный запросOriginal query

Следующий запрос используется DeviceAlertEvents в Microsoft Defender для конечной точки для получения оповещений, которые включают powershell.exe:The following query uses DeviceAlertEvents in Microsoft Defender for Endpoint to get the alerts that involve powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Измененный запросModified query

Следующий запрос был скорректирован для использования в Microsoft 365 Defender.The following query has been adjusted for use in Microsoft 365 Defender. Вместо того, чтобы проверять имя файла непосредственно из, он присоединяется и проверяет имя DeviceAlertEvents AlertEvidence файла в этой таблице.Instead of checking the file name directly from DeviceAlertEvents, it joins AlertEvidence and checks for the file name in that table.

AlertInfo 
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" 
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Перенос пользовательских правил обнаруженияMigrate custom detection rules

Когда правила Microsoft Defender для конечных точек редактированы в Microsoft 365 Defender, они продолжают функционировать так же, как и раньше, если в результате запрос смотрит только на таблицы устройств.When Microsoft Defender for Endpoint rules are edited on Microsoft 365 Defender, they continue to function as before if the resulting query looks at device tables only.

Например, оповещения, созданные пользовательскими правилами обнаружения, которые по-прежнему будут доставляться в SIEM только таблицы устройств и создавать уведомления электронной почты, в зависимости от того, как вы настроили их в Microsoft Defender для конечной точки.For example, alerts generated by custom detection rules that query only device tables will continue to be delivered to your SIEM and generate email notifications, depending on how you’ve configured these in Microsoft Defender for Endpoint. Любые существующие правила подавления в Защитнике для конечной точки также будут продолжать применяться.Any existing suppression rules in Defender for Endpoint will also continue to apply.

После изменения правила Defender для конечной точки, чтобы он запрашивал удостоверения и таблицы электронной почты, доступные только в Microsoft 365 Defender, правило автоматически перемещается в Microsoft 365 Defender.Once you edit a Defender for Endpoint rule so that it queries identity and email tables, which are only available in Microsoft 365 Defender, the rule is automatically moved to Microsoft 365 Defender.

Оповещения, созданные правилом переноса:Alerts generated by the migrated rule:

  • Больше не отображается на портале Defender for Endpoint (Центр безопасности в Microsoft Defender)Are no longer visible in the Defender for Endpoint portal (Microsoft Defender Security Center)
  • Прекратите доставку в SIEM или создание уведомлений электронной почты.Stop being delivered to your SIEM or generate email notifications. Чтобы обойти это изменение, настройте уведомления Microsoft 365 Defender для получения оповещений.To work around this change, configure notifications through Microsoft 365 Defender to get the alerts. Вы можете использовать API Microsoft 365 Defender для получения уведомлений о оповещениях об обнаружении клиентов или связанных с ними инцидентах.You can use the Microsoft 365 Defender API to receive notifications for customer detection alerts or related incidents.
  • Правила подавления конечных точек microsoft Defender не будут подавлены.Won't be suppressed by Microsoft Defender for Endpoint suppression rules. Чтобы предотвратить сгенерированию оповещений для определенных пользователей, устройств или почтовых ящиков, измените соответствующие запросы, чтобы исключить эти объекты явно.To prevent alerts from being generated for certain users, devices, or mailboxes, modify the corresponding queries to exclude those entities explicitly.

Если изменить правило таким образом, вам будет предложено подтверждение до того, как будут применены такие изменения.If you edit a rule this way, you will be prompted for confirmation before such changes are applied.

На странице оповещений, которая содержит следующую информацию, отображаются новые оповещения, созданные пользовательскими правилами обнаружения Microsoft 365 портала Defender.New alerts generated by custom detection rules in Microsoft 365 Defender portal are displayed in an alert page that provides the following information:

  • Название и описание оповещенийAlert title and description
  • Влияние активовImpacted assets
  • Действия, принятые в ответ на предупреждениеActions taken in response to the alert
  • Результаты запроса, которые вызвали оповещениеQuery results that triggered the alert
  • Сведения о пользовательском правиле обнаруженияInformation on the custom detection rule

Изображение новой страницы оповещенийImage of new alert page

Записывай запросы без DeviceAlertEventsWrite queries without DeviceAlertEvents

В схеме Microsoft 365 Defender предоставляются таблицы и таблицы для размещения разнообразного набора сведений, сопровождающих оповещения AlertInfo AlertEvidence из различных источников.In the Microsoft 365 Defender schema, the AlertInfo and AlertEvidence tables are provided to accommodate the diverse set of information that accompany alerts from various sources.

Чтобы получить те же сведения оповещений, которые вы использовали для получения из таблицы в схеме Microsoft Defender для конечной точки, фильтруем таблицу, а затем присоединяем каждый уникальный ID со таблицей, которая предоставляет подробные сведения о событиях и DeviceAlertEvents AlertInfo ServiceSource AlertEvidence сущности.To get the same alert information that you used to get from the DeviceAlertEvents table in the Microsoft Defender for Endpoint schema, filter the AlertInfo table by ServiceSource and then join each unique ID with the AlertEvidence table, which provides detailed event and entity information.

Пример запроса см. ниже:See the sample query below:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Этот запрос дает гораздо больше столбцов, чем DeviceAlertEvents в схеме Microsoft Defender для конечной точки.This query yields many more columns than DeviceAlertEvents in the Microsoft Defender for Endpoint schema. Чтобы сохранить управляемые результаты, используйте для получения только project интересуемых столбцов.To keep results manageable, use project to get only the columns you are interested in. В примере ниже проектов столбцов, которые могут быть интересны при обнаружении в ходе расследования активности PowerShell:The example below projects columns you might be interested in when the investigation detected PowerShell activity:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine 

Если вы хотите фильтровать для определенных сущностей, участвующих в оповещениях, вы можете это сделать, указав тип объекта и значение, которое вы хотите EntityType фильтровать.If you'd like to filter for specific entities involved in the alerts, you can do so by specifying the entity type in EntityType and the value you would like to filter for. В следующем примере ниже приводится пример определенного IP-адреса:The following example looks for a specific IP address:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId 
| where EntityType == "Ip" and RemoteIP == "192.88.99.01" 

См. такжеSee also