Migrera avancerade frågor om sökning från Microsoft Defender för Endpoint
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Endpoint till att proaktivt leta efter hot med en bredare uppsättning data. I Microsoft 365 Defender får du tillgång till data från andra Microsoft 365 säkerhetslösningar, bland annat:
- Microsoft Defender för Endpoint
- Microsoft Defender för Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Anteckning
De flesta Microsoft Defender för slutpunktskunder kan Microsoft 365 Defender utan ytterligare licenser. Om du vill börja gå över dina avancerade arbetsflöden för sökning från Defender för Endpoint aktiverar du Microsoft 365 Defender.
Du kan gå över utan att påverka dina befintliga Defender för slutpunktsarbetsflöden. Sparade frågor förblir intakta, och anpassade identifieringsregler fortsätter att köras och generera aviseringar. De kommer dock att visas i Microsoft 365 Defender.
Schematabeller endast Microsoft 365 Defender schema
I Microsoft 365 Defender avancerade sökscheman finns ytterligare tabeller som innehåller data från olika Microsoft 365 säkerhetslösningar. Följande tabeller är endast tillgängliga i Microsoft 365 Defender:
| Tabellnamn | Beskrivning |
|---|---|
| AlertEvidence | Filer, IP-adresser, URL:er, användare eller enheter som associeras med aviseringar |
| AlertInfo | Varningar från Microsoft Defender för Slutpunkt, Microsoft Defender för Office 365, Microsoft Defender för molnappar och Microsoft Defender för identitet, inklusive information om allvarlighetsgrad och hotkategorier |
| EmailAttachmentInfo | Information om bifogade filer i e-postmeddelanden |
| EmailEvents | Microsoft 365 e-posthändelser, inklusive e-postleverans och blockeringshändelser |
| EmailPostDeliveryEvents | Säkerhetshändelser som inträffar efter leveransen, Microsoft 365 har levererat e-postmeddelanden till mottagarens postlåda |
| EmailUrlInfo | Information om URL:er för e-postmeddelanden |
| IdentityDirectoryEvents | Händelser som innefattar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen omfattar ett antal identitetsrelaterade händelser och systemhändelser på domänkontrollanten. |
| IdentityInfo | Kontoinformation från olika källor, bland annat Azure Active Directory |
| IdentityLogonEvents | Autentiseringshändelser i Active Directory och Microsoft-onlinetjänster |
| IdentityQueryEvents | Frågor för Active Directory-objekt, till exempel användare, grupper, enheter och domäner |
Viktigt
Frågor och anpassade identifieringar som använder schematabeller som bara är tillgängliga i Microsoft 365 Defender kan endast visas i Microsoft 365 Defender.
Karta DeviceAlertEvents-tabell
Tabellerna AlertInfo AlertEvidence och ersätter tabellen i Microsoft Defender DeviceAlertEvents för Endpoint-schemat. Utöver data om enhetsaviseringar innehåller de här två tabellerna data om aviseringar om identiteter, appar och e-postmeddelanden.
Använd följande tabell för att kontrollera hur DeviceAlertEvents kolumner mapps till kolumner i AlertInfo AlertEvidence tabellerna.
Tips
Utöver kolumnerna i tabellen nedan innehåller tabellen många andra kolumner som ger en mer holistisk bild AlertEvidence av aviseringar från olika källor. Visa alla kolumner för AviseringVidens
| DeviceAlertEvents-kolumn | Här hittar du samma data i Microsoft 365 Defender |
|---|---|
AlertId |
AlertInfo och AlertEvidence tabeller |
Timestamp |
AlertInfo och AlertEvidence tabeller |
DeviceId |
AlertEvidence tabell |
DeviceName |
AlertEvidence tabell |
Severity |
AlertInfo tabell |
Category |
AlertInfo tabell |
Title |
AlertInfo tabell |
FileName |
AlertEvidence tabell |
SHA1 |
AlertEvidence tabell |
RemoteUrl |
AlertEvidence tabell |
RemoteIP |
AlertEvidence tabell |
AttackTechniques |
AlertInfo tabell |
ReportId |
Den här kolumnen används vanligtvis i Microsoft Defender för Slutpunkt för att hitta relaterade poster i andra tabeller. I Microsoft 365 Defender kan du hämta relaterade data direkt från AlertEvidence tabellen. |
Table |
Den här kolumnen används vanligtvis i Microsoft Defender för Slutpunkt för ytterligare händelseinformation i andra tabeller. I Microsoft 365 Defender kan du hämta relaterade data direkt från AlertEvidence tabellen. |
Justera befintliga Microsoft Defender för slutpunktsfrågor
Microsoft Defender för slutpunktsfrågor fungerar som de är såvida de inte refererar till DeviceAlertEvents tabellen. Om du vill använda dessa frågor Microsoft 365 Defender du följande ändringar:
- Ersätt
DeviceAlertEventsmedAlertInfo. - Sammanfoga och
AlertInfoAlertEvidencetabellerna för attAlertIdfå motsvarande data.
Ursprunglig fråga
Följande fråga använder i DeviceAlertEvents Microsoft Defender för Slutpunkt för att få aviseringar som involverar powershell.exe:
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
Ändrad fråga
Följande fråga har justerats för användning i Microsoft 365 Defender. I stället för att kontrollera filnamnet direkt DeviceAlertEvents från , ansluts AlertEvidence filen och söker efter filnamnet i tabellen.
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
Migrera anpassade identifieringsregler
När Microsoft Defender för slutpunktsregler redigeras i Microsoft 365 Defender fortsätter de att fungera som förut om den resulterande frågan endast tittar på enhetstabeller.
Till exempel kommer aviseringar som genereras av anpassade identifieringsregler som endast gäller enhetstabeller att fortsätta levereras till SIEM och generera e-postaviseringar, beroende på hur du har konfigurerat dessa i Microsoft Defender för Slutpunkt. Befintliga regelregler i Defender för Endpoint fortsätter också att gälla.
När du redigerar en Defender för slutpunktsregel så att den frågar om identitets- och e-posttabeller, som bara är tillgängliga i Microsoft 365 Defender, flyttas regeln automatiskt till den Microsoft 365 Defender.
Varningar som genereras av den migrerade regeln:
- Visas inte längre i Defender för Slutpunktsportalen (Microsoft Defender Säkerhetscenter)
- Sluta levereras till din SIEM eller generera e-postaviseringar. För att komma runt den här ändringen konfigurerar du Microsoft 365 Defender att få aviseringarna. Du kan använda API:t Microsoft 365 Defender få aviseringar om aviseringar för identifiering av kunder eller relaterade incidenter.
- Kommer inte att döljas av Microsoft Defender för slutpunktsreglerna. För att förhindra att aviseringar skapas för vissa användare, enheter eller postlådor ändrar du motsvarande frågor för att uttryckligen utesluta dessa enheter.
Om du redigerar en regel på det här sättet uppmanas du att bekräfta ändringarna innan de tillämpas.
Nya aviseringar som genereras av anpassade identifieringsregler i Microsoft 365 Defender visas på en aviseringssida som innehåller följande information:
- Aviseringstitel och beskrivning
- Påverkade tillgångar
- Åtgärder som vidtas som svar på aviseringen
- Frågeresultat som utlöste aviseringen
- Information om den anpassade identifieringsregeln
Skriv frågor utan DeviceAlertEvents
I Microsoft 365 Defender tabellerna och scheman tillhandahålls för den diverse uppsättningen information som medföljer AlertInfo AlertEvidence aviseringar från olika källor.
Om du vill ha samma aviseringsinformation som du fick från tabellen i Microsoft Defender för Endpoint-schemat filtrerar du tabellen efter och sammanar sedan varje unikt ID med tabellen, som ger detaljerad information om händelser och DeviceAlertEvents AlertInfo ServiceSource AlertEvidence enheter.
Se exempelfrågan nedan:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
Den här frågan ger många fler kolumner än DeviceAlertEvents i Microsoft Defender för Endpoint-schemat. Använd bara kolumnerna du är intresserad av för att hålla project resultaten hanterbara. I exemplet nedan visas kolumner för projekt som du kan vara intresserad av när undersökningen upptäckte PowerShell-aktivitet:
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
Om du vill filtrera efter specifika enheter som är inblandade i aviseringarna kan du göra det genom att ange enhetstypen i och det värde som du vill EntityType filtrera efter. Följande exempel söker efter en specifik IP-adress:
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"