Creare query di ricerca personalizzate in Microsoft Sentinel
Cercare le minacce alla sicurezza nelle origini dati dell'organizzazione con query di ricerca personalizzate. Microsoft Sentinel offre query di ricerca predefinite che consentono di individuare i problemi nei dati presenti nella rete. È tuttavia possibile creare query personalizzate. Per altre informazioni sulle query di ricerca, vedere Ricerca di minacce in Microsoft Sentinel.
Creare una nuova query
In Microsoft Sentinel creare una query di ricerca personalizzata dalla scheda Query di ricerca>.
Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Ricerca.
Per Microsoft Sentinel nel portale di Defender selezionare Ricerca di gestione>delle minacce di Microsoft Sentinel.>Selezionare la scheda Query .
Nella barra dei comandi selezionare Nuova query.
Compilare tutti i campi vuoti.
Creare mapping di entità selezionando tipi di entità, identificatori e colonne.
Eseguire il mapping delle tecniche MITRE ATT&CK alle query di ricerca selezionando la tattica, la tecnica e la sotto tecnica (se applicabile).
Al termine della definizione della query, selezionare Crea.
Clonare una query esistente
Clonare una query personalizzata o predefinita e modificarla in base alle esigenze.
Nella scheda Query di ricerca>selezionare la query di ricerca da clonare.
Selezionare i puntini di sospensione (...) nella riga della query da modificare e selezionare Clona.
Modificare la query e altri campi in base alle esigenze.
Seleziona Crea.
Modificare una query personalizzata esistente
È possibile modificare solo le query provenienti da un'origine contenuto personalizzata. Altre origini di contenuto devono essere modificate in tale origine.
Nella scheda Query di ricerca>selezionare la query di ricerca da modificare.
Selezionare i puntini di sospensione (...) nella riga della query da modificare e selezionare Modifica.
Aggiornare il campo Query con la query aggiornata. È anche possibile modificare il mapping e le tecniche di entità.
Al termine, selezionare Salva.