Erstellen von benutzerdefinierten Suchabfragen in Microsoft Sentinel

Suchen Sie mit benutzerdefinierten Suchabfragen nach Sicherheitsbedrohungen in den Datenquellen Ihrer Organisation. Microsoft Sentinel bietet integrierte Suchabfragen, die Ihnen helfen, Issues in den Daten zu finden, die Sie in Ihrem Netzwerk haben. Sie können jedoch auch selbst benutzerdefinierte Abfragen erstellen. Weitere Informationen zu Suchabfragen finden Sie unter Bedrohungssuche in Microsoft Sentinel.

Erstellen einer neuen Abfrage

Erstellen Sie in Microsoft Sentinel eine benutzerdefinierte Suchabfrage auf der Registerkarte Suche>Abfragen.

1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Hunting aus.
   Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Hunting aus.

2. Wählen Sie die Registerkarte Abfragen aus.

3. Wählen Sie in der Befehlsleiste Neue Abfrage aus.

   • Azure portal
   • Defender-Portal

   

4. Füllen Sie alle leeren Felder aus.

   1. Erstellen Sie Entitätszuordnungen, indem Sie Entitätstypen, Bezeichner und Spalten auswählen.

      

   2. Ordnen Sie Ihren Hunting-Abfragen MITRE ATT&CK-Techniken zu, indem Sie die Taktik, die Technik und die untergeordnete Technik (falls zutreffend) auswählen.

      

5. Wenn Sie die Abfrage definiert haben, wählen Sie Erstellen aus.

Klonen einer vorhandenen Abfrage

Klonen Sie eine benutzerdefinierte oder integrierte Abfrage, und bearbeiten Sie sie nach Bedarf.

1. Wählen Sie auf der Registerkarte Suche>Abfragen die Suchabfrage aus, die Sie klonen möchten.

2. Wählen Sie in der Zeile der Abfrage, die Sie ändern möchten, die Auslassungspunkte (...) aus, und wählen Sie Klonen aus.

   • Azure portal
   • Defender-Portal

   

3. Bearbeiten Sie die Abfrage und andere Felder entsprechend.

4. Klicken Sie auf Erstellen.

Bearbeiten einer vorhandenen benutzerdefinierten Abfrage

Nur Abfragen aus einer benutzerdefinierten Inhaltsquelle können bearbeitet werden. Andere Inhaltsquellen müssen an dieser Quelle bearbeitet werden.

1. Wählen Sie auf der Registerkarte Suche>Abfragen die Suchabfrage aus, die Sie ändern möchten.

2. Wählen Sie in der Zeile der Abfrage, die Sie ändern möchten, die Auslassungspunkte (...) aus, und wählen Sie Bearbeiten aus.

3. Aktualisieren Sie das Feld Abfrage mit der aktualisierten Abfrage. Sie können auch die Entitätszuordnung und -techniken ändern.

4. Wenn Sie fertig sind, wählen Sie Speichern aus.

Zugehöriger Inhalt

• KQL-Kurzübersicht
• Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
• Hunting nach Bedrohungen mit Microsoft Sentinel
• Durchführen der proaktiven End-to-End-Bedrohungssuche in Microsoft Sentinel