通过

使用 Microsoft Sentinel 函数、保存的查询和自定义规则

  • 适用于: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

使用函数

若要使用 Microsoft Sentinel 中的函数,请转到“ 函数 ”选项卡并滚动,直到找到所需的函数。 双击函数名称以在查询编辑器中插入函数。

还可以选择函数右侧的垂直省略号 ( kebab 图标 ) ,然后选择“ 插入查询 ”,在查询编辑器中将函数插入到查询中。

其他选项包括:

  • 查看详细信息 - 打开包含其详细信息的函数侧窗格。
  • 加载函数代码 – 打开包含函数代码的新选项卡。

对于可编辑函数,选择垂直省略号时提供更多选项:

  • 编辑详细信息 – 打开函数侧窗格,以便编辑有关函数 (的详细信息,但 Sentinel 函数的文件夹名称) 除外。
  • Delete – 删除函数。

对 Azure 数据资源管理器查询使用 adx () 运算符

adx()使用 运算符查询存储在 Azure 数据资源管理器 中的表。 有关详细信息,请参阅什么是 Azure 数据资源管理器?

此功能以前仅在 Microsoft Sentinel 的 log Analytics 中可用。 用户现在可以在统一Microsoft Defender门户中的高级搜寻中使用运算符,而无需手动打开Microsoft Sentinel 窗口。

在查询编辑器中,按以下格式输入查询:

adx('<Cluster URI>/<Database Name>').<Table Name>

例如,若要从 StormEvents 存储在特定 URI 中的表获取前 10 行数据:

高级搜寻中的 adx 运算符的屏幕截图。

注意

adx()自定义检测不支持运算符。

对 Azure Resource Graph查询使用 arg () 运算符

运算符 arg() 可用于跨已部署的 Azure 资源(如订阅、虚拟机、CPU、存储等)进行查询。

此功能以前仅在 Microsoft Sentinel 的日志功能中可用。 在Microsoft Defender门户中,arg()运算符将 Azure Resource Graph (rg) 查询与 Microsoft Sentinel 表组合在一起, (即不支持Defender XDR表) 。 这允许用户在高级搜寻中进行跨服务查询,而无需手动打开 Microsoft Sentinel 窗口。

有关详细信息,请参阅使用 arg () 查询 Azure Resource Graph 中的数据

注意

arg()分析规则不支持运算符。

在查询编辑器中,输入 arg (“”) 。后跟 Azure Resource Graph 表名称。

例如:

高级搜寻中的 arg 运算符的屏幕截图。

例如,还可以根据 Azure Resource Graph查询的结果筛选搜索Microsoft Sentinel 数据的查询:

arg("").Resources
| where type=="microsoft.compute/virtualmachines" | extend name = tolower(name)
| join ( 
BehaviorAnalytics
| where isnotempty(SourceDevice) and InvestigationPriority > 2 | extend SourceDevice = tolower(SourceDevice)
) on $left.name == $right.SourceDevice

使用保存的查询

若要使用来自 Microsoft Sentinel 的已保存查询,请转到“ 查询 ”选项卡并滚动,直到找到所需的查询。 双击查询名称以在查询编辑器中加载查询。 有关更多选项,请选择查询右侧的垂直省略号 ( kebab 图标 ) 。 可在此处执行以下作:

  • 运行查询 – 在查询编辑器中加载查询并自动运行它。

  • 在查询编辑器中打开 – 在查询编辑器中加载查询。

  • 查看详细信息 - 打开查询详细信息侧窗格,可在其中检查查询、运行查询或在编辑器中打开查询。

    Microsoft Defender门户中保存的查询中可用选项的屏幕截图。

对于可编辑查询,可以使用更多选项:

  • 编辑详细信息 - 打开查询详细信息侧窗格,其中包含用于编辑详细信息的选项,例如说明 ((如果适用)) 和查询本身;仅无法编辑Microsoft Sentinel 查询的文件夹名称 (位置) 。
  • 删除 – 删除查询。
  • 重命名 - 允许修改查询名称。

创建自定义分析和检测规则

重要

自定义检测现在是跨 Microsoft Sentinel SIEM Microsoft Defender XDR 创建新规则的最佳方式。 使用自定义检测,可以降低引入成本,获得无限的实时检测,并通过自动实体映射与Defender XDR数据、函数和修正作的无缝集成受益。 有关详细信息,请阅读 此博客

若要帮助发现环境中的威胁和异常行为,可以创建自定义检测规则。 有两种类型:

  • 分析规则 - 从查询通过 Microsoft Sentinel 引入的数据的规则生成检测
  • 自定义检测规则 - 从从 Defender XDR 或从 Microsoft Sentinel 和 Defender XDR 查询数据的规则生成检测
分析规则

对于应用于通过连接的 Microsoft Sentinel 工作区引入的数据的分析规则,请选择“ 管理规则 > ”“创建分析规则”。

用于在Microsoft Defender门户中创建自定义分析或检测的选项的屏幕截图

此时会显示 “分析规则”向导 。 按照 “分析规则向导 - 常规”选项卡中所述填写所需的详细信息。

自定义检测规则

可以创建自定义检测规则,用于从 Microsoft Sentinel 和 Defender XDR 表中查询数据。 选择 “管理规则 > ”“创建自定义检测”。 有关详细信息 ,请阅读创建自定义检测规则

在自定义检测和分析规则创建中,只能查询引入的数据作为分析日志 (,即,不能查询为基本日志或辅助日志。请参阅日志管理计划以检查不同的层) 否则规则创建不会继续。

如果将Defender XDR数据引入到 Microsoft Sentinel 中,可以选择创建自定义检测创建分析规则

注意

如果Defender XDR表未设置为流式传输到 Microsoft Sentinel 中的日志分析,但被识别为 Microsoft Sentinel 中的标准表,则可以成功创建分析规则,但该规则将无法正常运行,因为 Microsoft Sentinel 中实际上没有数据可用。 对于这些情况,请改用自定义检测规则向导。

管理自定义分析和检测规则

可以在“检测规则”页中查看所有用户定义的规则(自定义检测规则和分析 规则 )。 有关更多详细信息 ,请阅读管理自定义检测

对于已将多个工作区加入到Microsoft Defender的多工作区组织,现在可以查看“工作区 ID”列并按工作区进行筛选。