從 Microsoft Defender for Endpoint 遷移高級搜尋查詢

重要

改良的 Microsoft 365 安全性中心現在可用。 這個新的體驗會將適用於端點的 Defender、適用於 Office 365 的 Defender、Microsoft 365 Defender 和更多功能帶到 Microsoft 365 安全性中心。 了解新功能

適用於:

  • Microsoft 365 Defender

從 Microsoft Defender for Endpoint 移動您的高級搜尋工作流程,以使用更多資料集主動搜尋威脅。 在 Microsoft 365 Defender 中,您可以存取其他 Microsoft 365 安全性解決方案中的資料,包括:

  • 適用於端點的 Microsoft Defender
  • 適用於 Office 365 的 Microsoft Defender
  • Microsoft 雲端應用程式安全性
  • 適用於身分識別的 Microsoft Defender

注意

大多數 Microsoft Defender for Endpoint 客戶可以使用 Microsoft 365 Defender,但沒有其他授權。 若要開始從 Endpoint for Endpoint 轉換您的高級搜尋工作流程,請開啟 Microsoft 365 Defender

您可以轉換,而不會影響現有的端點工作流程。 儲存的查詢會保持不變,而且自訂偵測規則會繼續執行並產生警示。 不過,Microsoft 365 Defender 會顯示這些功能。

僅限 Microsoft 365 Defender 中的架構表格

Microsoft 365 Defender 的高級搜尋架構提供額外的資料表,其中包含各種 Microsoft 365 安全性解決方案的資料。 下表僅適用于 Microsoft 365 Defender:

表格名稱 描述
AlertEvidence 與警示相關聯的檔案、IP 位址、URLs、使用者或裝置
AlertInfo microsoft defender for Endpoint、microsoft defender for Office 365、Microsoft Cloud App Security 和 microsoft defender for Identity 的警示,包括嚴重性資訊和威脅類別
EmailAttachmentInfo 附加至電子郵件之檔案的相關資訊
EmailEvents Microsoft 365 電子郵件事件,包括電子郵件傳送和封鎖事件
EmailPostDeliveryEvents 在 Microsoft 365 將電子郵件傳遞至收件者信箱之後發生的安全性事件
EmailUrlInfo 電子郵件 URL 相關資訊
IdentityDirectoryEvents 涉及執行 Active Directory (AD) 之內部部署網域控制站的事件。 此資料表涵蓋一系列身分識別相關事件,以及網域控制站上的系統事件。
IdentityInfo 來自各種來源的帳戶資訊,包括 Azure Active Directory
IdentityLogonEvents Active Directory 和 Microsoft 線上服務上的驗證事件
IdentityQueryEvents 查詢 Active Directory 物件,例如使用者、群組、裝置和網域

重要

使用僅可用於 Microsoft 365 Defender 的架構表的查詢和自訂偵測只能在 Microsoft 365 Defender 中查看。

Map DeviceAlertEvents 表格

AlertInfoAlertEvidence 表格會取代 DeviceAlertEvents Microsoft Defender for Endpoint 架構中的表格。 除了裝置警示的資料之外,這兩個表格也包含有關身分識別、應用程式及電子郵件警示的資料。

請使用下表來檢查資料 DeviceAlertEvents 行對應至 [表格] 中欄的方式 AlertInfo AlertEvidence

提示

除了下表中的欄以外,此表格還 AlertEvidence 包含許多其他的欄,可提供來自各種來源的更整體警示。 查看所有 AlertEvidence 欄

DeviceAlertEvents 欄 在 Microsoft 365 Defender 中尋找相同資料的位置
AlertId AlertInfoAlertEvidence 表格
Timestamp AlertInfoAlertEvidence 表格
DeviceId AlertEvidence
DeviceName AlertEvidence
Severity AlertInfo
Category AlertInfo
Title AlertInfo
FileName AlertEvidence
SHA1 AlertEvidence
RemoteUrl AlertEvidence
RemoteIP AlertEvidence
AttackTechniques AlertInfo
ReportId 此欄通常用在 Microsoft Defender for Endpoint 中,以尋找其他資料表中的相關記錄。 在 Microsoft 365 Defender 中,您可以直接從資料表取得相關資料 AlertEvidence
Table 此欄通常用於 Microsoft Defender for Endpoint 中其他資料表中的其他事件資訊。 在 Microsoft 365 Defender 中,您可以直接從資料表取得相關資料 AlertEvidence

調整現有的 Microsoft Defender for Endpoint 查詢

Microsoft Defender for Endpoint 查詢會以-為單位運作,除非他們參考 DeviceAlertEvents 該表。 若要在 Microsoft 365 Defender 中使用這些查詢,請套用下列變更:

  • 取代 DeviceAlertEvents AlertInfo
  • 加入 AlertInfo 和上的 AlertEvidence 資料表, AlertId 以取得對等資料。

原始查詢

下列查詢會 DeviceAlertEvents 在 Microsoft Defender For Endpoint 中使用,以取得涉及 powershell.exe 的警示:

DeviceAlertEvents
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

修改的查詢

下列查詢已調整為用於 Microsoft 365 Defender。 DeviceAlertEvents它會加入 AlertEvidence 並檢查該表中的檔案名,而不是直接檢查檔案名。

AlertInfo 
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" 
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

遷移自訂偵測規則

當 Microsoft Defender for Endpoint rules 在 Microsoft 365 Defender 上編輯時,如果結果查詢只會查看裝置資料表,便會繼續像以前一樣運作。

例如,自訂偵測規則所產生的警示,只要查詢裝置資料表,就會繼續傳遞到您的 SIEM 並產生電子郵件通知,視您在 Microsoft Defender for Endpoint 中的設定方式而定。 在 Defender for Endpoint 中的任何現有抑制規則也會繼續套用。

一旦您編輯了某一 Defender for Endpoint 規則,讓它查詢身分識別和電子郵件表格(僅 Microsoft 365 Defender 中提供),該規則就會自動移至 Microsoft 365 Defender。

由遷移的規則所產生的警示:

  • 在端點入口網站 (Microsoft Defender 資訊安全中心中不再顯示)
  • 停止傳遞到您的 SIEM 或產生電子郵件通知。 若要解決此變更,請透過 Microsoft 365 Defender 設定通知以取得提醒。 您可以使用Microsoft 365 Defender API接收客戶偵測警示或相關事件的通知。
  • 不會由 Microsoft Defender for Endpoint 抑制規則抑制。 若要防止針對某些使用者、裝置或信箱產生警示,請修改對應的查詢以明確排除那些實體。

如果您以這種方式編輯規則,則在套用此類變更之前,系統會提示您進行確認。

由 Microsoft 365 Defender 入口網站中的自訂偵測規則所產生的新警示會顯示在警示頁面中,提供下列資訊:

  • 提醒標題和描述
  • 受影響資產
  • 回應提醒所採取的動作
  • 觸發警示的查詢結果
  • 自訂偵測規則的資訊

新警示頁面的圖像。

寫入不含 DeviceAlertEvents 的查詢

在 Microsoft 365 Defender 架構中, AlertInfo 提供了和 AlertEvidence 資料表,以容納不同來源的警示附帶的資訊集。

若要取得您用來從 DeviceAlertEvents Microsoft Defender For Endpoint 架構中的表格取得的相同警示資訊,請篩選 AlertInfo 該表, ServiceSource 然後使用資料表加入每個唯一的 ID AlertEvidence ,以提供詳細的事件及實體資訊。

請參閱下列範例查詢:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

此查詢所產生的資料行數多於 DeviceAlertEvents Microsoft Defender For Endpoint 架構中的資料行數。 若要保持可管理的結果,請使用 project 僅取得您感興趣的欄。 在調查偵測到 PowerShell 活動時,可能會對下列專案欄感興趣的範例:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine 

如果您想要針對警示中的特定實體進行篩選,您可以在中指定實體類型 EntityType 和要篩選的值來執行此動作。 下列範例會尋找特定的 IP 位址:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId 
| where EntityType == "Ip" and RemoteIP == "192.88.99.01" 

另請參閱