Migrieren erweiterter Suchabfragen aus Microsoft Defender for Endpoint

Gilt für:

  • Microsoft Defender XDR

Verschieben Sie Ihre erweiterten Suchworkflows von Microsoft Defender for Endpoint, um proaktiv nach Bedrohungen zu suchen, indem Sie eine breitere Menge von Daten verwenden. In Microsoft Defender XDR erhalten Sie Zugriff auf Daten von anderen Microsoft 365-Sicherheitslösungen, einschließlich:

  • Microsoft Defender für Endpunkt
  • Microsoft Defender für Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Hinweis

Die meisten Microsoft Defender for Endpoint Kunden können Microsoft Defender XDR ohne zusätzliche Lizenzen verwenden. Aktivieren Sie Microsoft Defender XDR, um mit der Umstellung Ihrer erweiterten Huntingworkflows von Defender für Endpunkt zu beginnen.

Sie können den Übergang ohne Auswirkungen auf Ihre vorhandenen Defender für Endpunkt-Workflows durchführen. Gespeicherte Abfragen bleiben erhalten, und benutzerdefinierte Erkennungsregeln werden weiterhin ausgeführt und generieren Warnungen. Sie werden jedoch in Microsoft Defender XDR sichtbar sein.

Schematabellen nur in Microsoft Defender XDR

Das Microsoft Defender XDR erweiterte Suchschema stellt zusätzliche Tabellen bereit, die Daten aus verschiedenen Microsoft 365-Sicherheitslösungen enthalten. Die folgenden Tabellen sind nur in Microsoft Defender XDR verfügbar:

Tabellenname Beschreibung
AlertEvidence Dateien, IP-Adressen, URLs, Benutzer oder Geräte, die Warnungen zugeordnet sind
AlertInfo Warnungen von Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps und Microsoft Defender for Identity, einschließlich Schweregradinformationen und Bedrohungskategorien
EmailAttachmentInfo Informationen zu Dateien, die an E-Mails angefügt sind
EmailEvents Microsoft 365-E-Mail-Ereignisse, einschließlich E-Mail-Zustellung und Blockieren von Ereignissen
EmailPostDeliveryEvents Sicherheitsereignisse, die nach der Zustellung auftreten, nachdem Microsoft 365 die E-Mails an das Empfängerpostfach übermittelt hat
EmailUrlInfo Informationen zu URLs in E-Mails
IdentityDirectoryEvents Ereignisse, die einen lokalen Domänencontroller betreffen, auf dem Active Directory (AD) ausgeführt wird. Diese Tabelle befasst sich mit einer Reihe von identitätsbezogenen Ereignissen sowie mit Systemereignissen auf dem Domänencontroller.
IdentityInfo Kontoinformationen aus verschiedenen Quellen, einschließlich Microsoft Entra ID
IdentityLogonEvents Authentifizierungsereignisse in Active Directory- und Microsoft-Onlinediensten
IdentityQueryEvents Abfragen für Active Directory-Objekte, z. B. Benutzer, Gruppen, Geräte und Domänen

Wichtig

Abfragen und benutzerdefinierte Erkennungen, die Schematabellen verwenden, die nur in Microsoft Defender XDR verfügbar sind, können nur in Microsoft Defender XDR angezeigt werden.

DeviceAlertEvents-Tabelle zuordnen

Die AlertInfo Tabellen und AlertEvidence ersetzen die DeviceAlertEvents Tabelle im Microsoft Defender for Endpoint Schema. Zusätzlich zu Daten zu Gerätewarnungen enthalten diese beiden Tabellen Daten zu Warnungen für Identitäten, Apps und E-Mails.

Verwenden Sie die folgende Tabelle, um zu überprüfen, wie DeviceAlertEvents Spalten den Spalten in den AlertInfo Tabellen und AlertEvidence zugeordnet werden.

Tipp

Zusätzlich zu den Spalten in der folgenden Tabelle enthält die AlertEvidence Tabelle viele weitere Spalten, die ein ganzheitlicheres Bild von Warnungen aus verschiedenen Quellen bieten. Alle AlertEvidence-Spalten anzeigen

DeviceAlertEvents-Spalte Wo sie dieselben Daten in Microsoft Defender XDR
AlertId AlertInfo und AlertEvidence Tabellen
Timestamp AlertInfo und AlertEvidence Tabellen
DeviceId AlertEvidence Tisch
DeviceName AlertEvidence Tisch
Severity AlertInfo Tisch
Category AlertInfo Tisch
Title AlertInfo Tisch
FileName AlertEvidence Tisch
SHA1 AlertEvidence Tisch
RemoteUrl AlertEvidence Tisch
RemoteIP AlertEvidence Tisch
AttackTechniques AlertInfo Tisch
ReportId Diese Spalte wird in der Regel in Microsoft Defender for Endpoint verwendet, um verwandte Datensätze in anderen Tabellen zu suchen. In Microsoft Defender XDR können Sie verwandte Daten direkt aus der AlertEvidence Tabelle abrufen.
Table Diese Spalte wird in der Regel in Microsoft Defender for Endpoint für zusätzliche Ereignisinformationen in anderen Tabellen verwendet. In Microsoft Defender XDR können Sie verwandte Daten direkt aus der AlertEvidence Tabelle abrufen.

Anpassen vorhandener Microsoft Defender for Endpoint Abfragen

Microsoft Defender for Endpoint Abfragen funktionieren unverändert, es sei denn, sie verweisen auf die DeviceAlertEvents Tabelle. Um diese Abfragen in Microsoft Defender XDR zu verwenden, wenden Sie die folgenden Änderungen an:

  • Ersetzen Sie DeviceAlertEvents durch AlertInfo.
  • Verknüpfen Sie die AlertInfo Tabellen und AlertEvidence in , AlertId um entsprechende Daten abzurufen.

Ursprüngliche Abfrage

Die folgende Abfrage verwendet DeviceAlertEvents in Microsoft Defender for Endpoint, um die Warnungen abzurufen, die powershell.exebetreffen:

DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Abfrage geändert

Die folgende Abfrage wurde für die Verwendung in Microsoft Defender XDR angepasst. Anstatt den Dateinamen direkt aus zu DeviceAlertEventsüberprüfen, wird der Dateiname in dieser Tabelle verknüpft AlertEvidence und überprüft.

AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Migrieren von benutzerdefinierten Erkennungsregeln

Wenn Microsoft Defender for Endpoint Regeln auf Microsoft Defender XDR bearbeitet werden, funktionieren sie weiterhin wie zuvor, wenn die resultierende Abfrage nur Gerätetabellen untersucht.

Beispielsweise werden Warnungen, die von benutzerdefinierten Erkennungsregeln generiert werden, die nur Gerätetabellen abfragen, weiterhin an Ihr SIEM übermittelt und E-Mail-Benachrichtigungen generiert, je nachdem, wie Sie diese in Microsoft Defender for Endpoint konfiguriert haben. Alle vorhandenen Unterdrückungsregeln in Defender für Endpunkt gelten auch weiterhin.

Nachdem Sie eine Defender für Endpunkt-Regel so bearbeitet haben, dass sie Identitäts- und E-Mail-Tabellen abfragt, die nur in Microsoft Defender XDR verfügbar sind, wird die Regel automatisch in Microsoft Defender XDR verschoben.

Von der migrierten Regel generierte Warnungen:

  • Sind im Defender für Endpunkt-Portal (Microsoft Defender Security Center) nicht mehr sichtbar
  • Beenden Sie die Übermittlung an Ihr SIEM, oder generieren Sie E-Mail-Benachrichtigungen. Um diese Änderung zu umgehen, konfigurieren Sie Benachrichtigungen über Microsoft Defender XDR, um die Warnungen zu erhalten. Sie können die Microsoft Defender XDR-API verwenden, um Benachrichtigungen für Kundenerkennungswarnungen oder zugehörige Vorfälle zu empfangen.
  • Wird nicht durch Microsoft Defender for Endpoint Unterdrückungsregeln unterdrückt. Um zu verhindern, dass Warnungen für bestimmte Benutzer, Geräte oder Postfächer generiert werden, ändern Sie die entsprechenden Abfragen, um diese Entitäten explizit auszuschließen.

Wenn Sie eine Regel auf diese Weise bearbeiten, werden Sie zur Bestätigung aufgefordert, bevor solche Änderungen angewendet werden.

Neue Warnungen, die von benutzerdefinierten Erkennungsregeln in Microsoft Defender XDR generiert werden, werden auf einer Warnungsseite mit den folgenden Informationen angezeigt:

  • Titel und Beschreibung der Warnung
  • Betroffene Ressourcen
  • Als Reaktion auf die Warnung ausgeführte Aktionen
  • Abfrageergebnisse, die die Warnung ausgelöst haben
  • Informationen zur benutzerdefinierten Erkennungsregel

Schreiben von Abfragen ohne DeviceAlertEvents

Im Microsoft Defender XDR Schema werden die AlertInfo Tabellen und AlertEvidence bereitgestellt, um die verschiedenen Informationen zu berücksichtigen, die Warnungen aus verschiedenen Quellen begleiten.

Um die gleichen Warnungsinformationen abzurufen, die Sie zum Abrufen aus der DeviceAlertEvents Tabelle im Microsoft Defender for Endpoint Schema verwendet haben, filtern Sie die AlertInfo Tabelle nachServiceSource, und verbinden Sie dann jede eindeutige ID mit der AlertEvidence Tabelle, die detaillierte Ereignis- und Entitätsinformationen bereitstellt.

Sehen Sie sich die folgende Beispielabfrage an:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Diese Abfrage liefert viel mehr Spalten als DeviceAlertEvents im Microsoft Defender for Endpoint Schema. Um die Ergebnisse überschaubar zu halten, verwenden Sie project , um nur die Spalten abzurufen, an denen Sie interessiert sind. Das folgende Beispiel projiziert Spalten, die Sie möglicherweise interessieren, wenn die Untersuchung powerShell-Aktivität erkannt hat:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine

Wenn Sie nach bestimmten Entitäten filtern möchten, die an den Warnungen beteiligt sind, können Sie dazu den Entitätstyp in EntityType und den Wert angeben, nach dem Sie filtern möchten. Im folgenden Beispiel wird nach einer bestimmten IP-Adresse gesucht:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.