Migrar consultas de investigação avançadas do Microsoft Defender para Ponto de Extremidade

Aplica-se a:

  • Microsoft Defender XDR

Mova os fluxos de trabalho de investigação avançados de Microsoft Defender para Ponto de Extremidade para procurar proativamente ameaças através de um conjunto mais amplo de dados. No Microsoft Defender XDR, obtém acesso a dados de outras soluções de segurança do Microsoft 365, incluindo:

  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Identidade

Observação

A maioria dos clientes Microsoft Defender para Ponto de Extremidade pode utilizar Microsoft Defender XDR sem licenças adicionais. Para começar a fazer a transição dos fluxos de trabalho de investigação avançados do Defender para Endpoint, ative Microsoft Defender XDR.

Pode fazer a transição sem afetar os fluxos de trabalho existentes do Defender para Endpoint. As consultas guardadas permanecem intactas e as regras de deteção personalizadas continuam a ser executadas e a gerar alertas. No entanto, estarão visíveis no Microsoft Defender XDR.

Tabelas de esquema apenas no Microsoft Defender XDR

O Microsoft Defender XDR esquema de investigação avançado fornece tabelas adicionais que contêm dados de várias soluções de segurança do Microsoft 365. As tabelas seguintes só estão disponíveis no Microsoft Defender XDR:

Nome da tabela Descrição
AlertEvidence Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas
AlertInfo Alertas de Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade, incluindo informações de gravidade e categorias de ameaças
EmailAttachmentInfo Informações sobre arquivos anexados a emails
EmailEvents Eventos de email do Microsoft 365, incluindo a entrega de email e eventos de bloqueio
EmailPostDeliveryEvents Eventos de segurança que ocorrem após a entrega, após o Microsoft 365 entregar os emails à caixa de correio do destinatário
EmailUrlInfo Informações sobre URLs nos emails
IdentityDirectoryEvents Eventos envolvendo um controlador de domínio local executando o AD (Active Directory). Essa tabela abrange um intervalo de eventos relacionados à identidade, bem como eventos do sistema no controlador de domínio.
IdentityInfo Informações de conta de várias origens, incluindo Microsoft Entra ID
IdentityLogonEvents Eventos de autenticação no Active Directory e serviços online da Microsoft
IdentityQueryEvents Consultas para objetos do Active Directory, como usuários, grupos, dispositivos e domínios

Importante

As consultas e as deteções personalizadas que utilizam tabelas de esquema que só estão disponíveis no Microsoft Defender XDR só podem ser visualizadas no Microsoft Defender XDR.

Mapear a tabela DeviceAlertEvents

As AlertInfo tabelas e AlertEvidence substituem a DeviceAlertEvents tabela no esquema Microsoft Defender para Ponto de Extremidade. Além dos dados sobre alertas de dispositivos, estas duas tabelas incluem dados sobre alertas de identidades, aplicações e e-mails.

Utilize a tabela seguinte para marcar como DeviceAlertEvents as colunas são mapeadas para colunas nas AlertInfo tabelas e AlertEvidence .

Dica

Além das colunas na tabela seguinte, a AlertEvidence tabela inclui muitas outras colunas que fornecem uma imagem mais holística dos alertas de várias origens. Ver todas as colunas AlertEvidence

Coluna DeviceAlertEvents Onde encontrar os mesmos dados no Microsoft Defender XDR
AlertId AlertInfo e AlertEvidence tabelas
Timestamp AlertInfo e AlertEvidence tabelas
DeviceId AlertEvidence tabela
DeviceName AlertEvidence tabela
Severity AlertInfo tabela
Category AlertInfo tabela
Title AlertInfo tabela
FileName AlertEvidence tabela
SHA1 AlertEvidence tabela
RemoteUrl AlertEvidence tabela
RemoteIP AlertEvidence tabela
AttackTechniques AlertInfo tabela
ReportId Normalmente, esta coluna é utilizada no Microsoft Defender para Ponto de Extremidade para localizar registos relacionados noutras tabelas. No Microsoft Defender XDR, pode obter dados relacionados diretamente a AlertEvidence partir da tabela.
Table Normalmente, esta coluna é utilizada no Microsoft Defender para Ponto de Extremidade para obter informações adicionais sobre eventos noutras tabelas. No Microsoft Defender XDR, pode obter dados relacionados diretamente a AlertEvidence partir da tabela.

Ajustar consultas de Microsoft Defender para Ponto de Extremidade existentes

Microsoft Defender para Ponto de Extremidade consultas funcionarão tal como estão, a menos que referenciem a DeviceAlertEvents tabela. Para utilizar estas consultas no Microsoft Defender XDR, aplique estas alterações:

  • Substitua DeviceAlertEvents por AlertInfo.
  • Associe as AlertInfo tabelas AlertId e AlertEvidence para obter dados equivalentes.

Consulta original

A consulta seguinte utiliza DeviceAlertEvents no Microsoft Defender para Ponto de Extremidade para obter os alertas que envolvem powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Consulta modificada

A consulta seguinte foi ajustada para utilização no Microsoft Defender XDR. Em vez de verificar o nome do ficheiro diretamente a partir de DeviceAlertEvents, este é associado AlertEvidence e verifica o nome do ficheiro nessa tabela.

AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Migrar regras de deteção personalizadas

Quando Microsoft Defender para Ponto de Extremidade regras são editadas no Microsoft Defender XDR, continuam a funcionar como antes se a consulta resultante analisar apenas as tabelas de dispositivos.

Por exemplo, os alertas gerados por regras de deteção personalizadas que consultam apenas tabelas de dispositivos continuarão a ser entregues no SIEM e a gerar notificações por email, consoante a forma como as configurou no Microsoft Defender para Ponto de Extremidade. As regras de supressão existentes no Defender para Endpoint também continuarão a ser aplicadas.

Depois de editar uma regra do Defender para Endpoint para que consulte a identidade e as tabelas de e-mail, que só estão disponíveis no Microsoft Defender XDR, a regra é movida automaticamente para Microsoft Defender XDR.

Alertas gerados pela regra migrada:

  • Já não estão visíveis no portal do Defender para Endpoint (Central de Segurança do Microsoft Defender)
  • Deixe de ser entregue no SIEM ou gere notificações por email. Para contornar esta alteração, configure as notificações através de Microsoft Defender XDR para obter os alertas. Pode utilizar a API de Microsoft Defender XDR para receber notificações de alertas de deteção de clientes ou incidentes relacionados.
  • Não será suprimido pelas Microsoft Defender para Ponto de Extremidade regras de supressão. Para impedir que sejam gerados alertas para determinados utilizadores, dispositivos ou caixas de correio, modifique as consultas correspondentes para excluir essas entidades explicitamente.

Se editar uma regra desta forma, ser-lhe-á pedida a confirmação antes de essas alterações serem aplicadas.

Os novos alertas gerados pelas regras de deteção personalizadas no Microsoft Defender XDR são apresentados numa página de alerta que fornece as seguintes informações:

  • Título e descrição do alerta
  • Ativos afetados
  • Ações tomadas em resposta ao alerta
  • Resultados da consulta que acionaram o alerta
  • Informações sobre a regra de deteção personalizada

Escrever consultas sem DeviceAlertEvents

No esquema Microsoft Defender XDR, as AlertInfo tabelas e AlertEvidence são fornecidas para acomodar o conjunto diversificado de informações que acompanham alertas de várias origens.

Para obter as mesmas informações de alerta que utilizou para obter da DeviceAlertEvents tabela no esquema Microsoft Defender para Ponto de Extremidade, filtre a AlertInfo tabela por ServiceSource e, em seguida, associe cada ID exclusivo à AlertEvidence tabela, que fornece informações detalhadas sobre eventos e entidades.

Veja a consulta de exemplo abaixo:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Esta consulta gera muito mais colunas do que DeviceAlertEvents no esquema Microsoft Defender para Ponto de Extremidade. Para manter os resultados geríveis, utilize project para obter apenas as colunas em que está interessado. O exemplo abaixo projecta colunas nas quais poderá estar interessado quando a investigação detetou a atividade do PowerShell:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine

Se quiser filtrar entidades específicas envolvidas nos alertas, pode fazê-lo ao especificar o tipo de entidade em EntityType e o valor que pretende filtrar. O exemplo seguinte procura um endereço IP específico:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.