Migrera avancerade frågor om sökning från Microsoft Defender för Endpoint

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Endpoint till att proaktivt leta efter hot med en bredare uppsättning data. I Microsoft 365 Defender får du tillgång till data från andra Microsoft 365 säkerhetslösningar, bland annat:

  • Microsoft Defender för Endpoint
  • Microsoft Defender för Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Anteckning

De flesta Microsoft Defender för slutpunktskunder kan Microsoft 365 Defender utan ytterligare licenser. Om du vill börja gå över dina avancerade arbetsflöden för sökning från Defender för Endpoint aktiverar du Microsoft 365 Defender.

Du kan gå över utan att påverka dina befintliga Defender för slutpunktsarbetsflöden. Sparade frågor förblir intakta, och anpassade identifieringsregler fortsätter att köras och generera aviseringar. De kommer dock att visas i Microsoft 365 Defender.

Schematabeller endast Microsoft 365 Defender schema

I Microsoft 365 Defender avancerade sökscheman finns ytterligare tabeller som innehåller data från olika Microsoft 365 säkerhetslösningar. Följande tabeller är endast tillgängliga i Microsoft 365 Defender:

Tabellnamn Beskrivning
AlertEvidence Filer, IP-adresser, URL:er, användare eller enheter som associeras med aviseringar
AlertInfo Varningar från Microsoft Defender för Slutpunkt, Microsoft Defender för Office 365, Microsoft Defender för molnappar och Microsoft Defender för identitet, inklusive information om allvarlighetsgrad och hotkategorier
EmailAttachmentInfo Information om bifogade filer i e-postmeddelanden
EmailEvents Microsoft 365 e-posthändelser, inklusive e-postleverans och blockeringshändelser
EmailPostDeliveryEvents Säkerhetshändelser som inträffar efter leveransen, Microsoft 365 har levererat e-postmeddelanden till mottagarens postlåda
EmailUrlInfo Information om URL:er för e-postmeddelanden
IdentityDirectoryEvents Händelser som innefattar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen omfattar ett antal identitetsrelaterade händelser och systemhändelser på domänkontrollanten.
IdentityInfo Kontoinformation från olika källor, bland annat Azure Active Directory
IdentityLogonEvents Autentiseringshändelser i Active Directory och Microsoft-onlinetjänster
IdentityQueryEvents Frågor för Active Directory-objekt, till exempel användare, grupper, enheter och domäner

Viktigt

Frågor och anpassade identifieringar som använder schematabeller som bara är tillgängliga i Microsoft 365 Defender kan endast visas i Microsoft 365 Defender.

Karta DeviceAlertEvents-tabell

Tabellerna AlertInfo AlertEvidence och ersätter tabellen i Microsoft Defender DeviceAlertEvents för Endpoint-schemat. Utöver data om enhetsaviseringar innehåller de här två tabellerna data om aviseringar om identiteter, appar och e-postmeddelanden.

Använd följande tabell för att kontrollera hur DeviceAlertEvents kolumner mapps till kolumner i AlertInfo AlertEvidence tabellerna.

Tips

Utöver kolumnerna i tabellen nedan innehåller tabellen många andra kolumner som ger en mer holistisk bild AlertEvidence av aviseringar från olika källor. Visa alla kolumner för AviseringVidens

DeviceAlertEvents-kolumn Här hittar du samma data i Microsoft 365 Defender
AlertId AlertInfo och AlertEvidence tabeller
Timestamp AlertInfo och AlertEvidence tabeller
DeviceId AlertEvidence tabell
DeviceName AlertEvidence tabell
Severity AlertInfo tabell
Category AlertInfo tabell
Title AlertInfo tabell
FileName AlertEvidence tabell
SHA1 AlertEvidence tabell
RemoteUrl AlertEvidence tabell
RemoteIP AlertEvidence tabell
AttackTechniques AlertInfo tabell
ReportId Den här kolumnen används vanligtvis i Microsoft Defender för Slutpunkt för att hitta relaterade poster i andra tabeller. I Microsoft 365 Defender kan du hämta relaterade data direkt från AlertEvidence tabellen.
Table Den här kolumnen används vanligtvis i Microsoft Defender för Slutpunkt för ytterligare händelseinformation i andra tabeller. I Microsoft 365 Defender kan du hämta relaterade data direkt från AlertEvidence tabellen.

Justera befintliga Microsoft Defender för slutpunktsfrågor

Microsoft Defender för slutpunktsfrågor fungerar som de är såvida de inte refererar till DeviceAlertEvents tabellen. Om du vill använda dessa frågor Microsoft 365 Defender du följande ändringar:

  • Ersätt DeviceAlertEvents med AlertInfo .
  • Sammanfoga och AlertInfo AlertEvidence tabellerna för att AlertId få motsvarande data.

Ursprunglig fråga

Följande fråga använder i DeviceAlertEvents Microsoft Defender för Slutpunkt för att få aviseringar som involverar powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Ändrad fråga

Följande fråga har justerats för användning i Microsoft 365 Defender. I stället för att kontrollera filnamnet direkt DeviceAlertEvents från , ansluts AlertEvidence filen och söker efter filnamnet i tabellen.

AlertInfo 
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" 
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Migrera anpassade identifieringsregler

När Microsoft Defender för slutpunktsregler redigeras i Microsoft 365 Defender fortsätter de att fungera som förut om den resulterande frågan endast tittar på enhetstabeller.

Till exempel kommer aviseringar som genereras av anpassade identifieringsregler som endast gäller enhetstabeller att fortsätta levereras till SIEM och generera e-postaviseringar, beroende på hur du har konfigurerat dessa i Microsoft Defender för Slutpunkt. Befintliga regelregler i Defender för Endpoint fortsätter också att gälla.

När du redigerar en Defender för slutpunktsregel så att den frågar om identitets- och e-posttabeller, som bara är tillgängliga i Microsoft 365 Defender, flyttas regeln automatiskt till den Microsoft 365 Defender.

Varningar som genereras av den migrerade regeln:

  • Visas inte längre i Defender för Slutpunktsportalen (Microsoft Defender Säkerhetscenter)
  • Sluta levereras till din SIEM eller generera e-postaviseringar. För att komma runt den här ändringen konfigurerar du Microsoft 365 Defender att få aviseringarna. Du kan använda API:t Microsoft 365 Defender få aviseringar om aviseringar för identifiering av kunder eller relaterade incidenter.
  • Kommer inte att döljas av Microsoft Defender för slutpunktsreglerna. För att förhindra att aviseringar skapas för vissa användare, enheter eller postlådor ändrar du motsvarande frågor för att uttryckligen utesluta dessa enheter.

Om du redigerar en regel på det här sättet uppmanas du att bekräfta ändringarna innan de tillämpas.

Nya aviseringar som genereras av anpassade identifieringsregler i Microsoft 365 Defender visas på en aviseringssida som innehåller följande information:

  • Aviseringstitel och beskrivning
  • Påverkade tillgångar
  • Åtgärder som vidtas som svar på aviseringen
  • Frågeresultat som utlöste aviseringen
  • Information om den anpassade identifieringsregeln

Skriv frågor utan DeviceAlertEvents

I Microsoft 365 Defender tabellerna och scheman tillhandahålls för den diverse uppsättningen information som medföljer AlertInfo AlertEvidence aviseringar från olika källor.

Om du vill ha samma aviseringsinformation som du fick från tabellen i Microsoft Defender för Endpoint-schemat filtrerar du tabellen efter och sammanar sedan varje unikt ID med tabellen, som ger detaljerad information om händelser och DeviceAlertEvents AlertInfo ServiceSource AlertEvidence enheter.

Se exempelfrågan nedan:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Den här frågan ger många fler kolumner än DeviceAlertEvents i Microsoft Defender för Endpoint-schemat. Använd bara kolumnerna du är intresserad av för att hålla project resultaten hanterbara. I exemplet nedan visas kolumner för projekt som du kan vara intresserad av när undersökningen upptäckte PowerShell-aktivitet:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine 

Om du vill filtrera efter specifika enheter som är inblandade i aviseringarna kan du göra det genom att ange enhetstypen i och det värde som du vill EntityType filtrera efter. Följande exempel söker efter en specifik IP-adress:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId 
| where EntityType == "Ip" and RemoteIP == "192.88.99.01" 

Se även