Investigação avançada com dados de Microsoft Sentinel no portal do Microsoft Defender

A investigação avançada permite-lhe ver e consultar todas as origens de dados disponíveis no portal Microsoft Defender unificado. As origens de dados podem incluir Microsoft Defender XDR e vários serviços de segurança da Microsoft. Se integrar Microsoft Sentinel no portal do Defender, aceda e utilize todos os conteúdos existentes da área de trabalho Microsoft Sentinel, incluindo consultas e funções.

A consulta a partir de um único portal em diferentes conjuntos de dados torna a investigação mais eficiente e elimina a necessidade de mudança de contexto.

Importante

Microsoft Sentinel está agora disponível globalmente na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.

Como aceder

Funções e permissões necessárias

Pode consultar dados em qualquer carga de trabalho a que possa aceder atualmente com base nas suas funções e permissões.

Para consultar Microsoft Sentinel e Microsoft Defender XDR dados na página de investigação avançada unificada, também precisará, pelo menos, da função leitor Microsoft Sentinel. Para obter mais informações, veja Microsoft Sentinel funções específicas.

Ligar uma área de trabalho

No Microsoft Defender, pode ligar áreas de trabalho ao selecionar Ligar uma área de trabalho na faixa superior. Este botão é apresentado se for elegível para integrar uma área de trabalho Microsoft Sentinel no portal de Microsoft Defender unificado. Siga os passos em: Integrar uma área de trabalho.

Depois de ligar a área de trabalho Microsoft Sentinel e Microsoft Defender XDR dados de investigação avançados, pode começar a consultar Microsoft Sentinel dados a partir da página de investigação avançada. Para obter uma descrição geral das funcionalidades avançadas de investigação, leia Proativamente investigar ameaças com investigação avançada.

O que esperar de Defender XDR tabelas transmitidas para Microsoft Sentinel

  • Utilizar tabelas com um período de retenção de dados mais longo em consultas – a investigação avançada segue o período máximo de retenção de dados configurado para as tabelas de Defender XDR (veja Compreender as quotas). Se transmitir Defender XDR tabelas para Microsoft Sentinel e tiver um período de retenção de dados superior a 30 dias para as tabelas, pode consultar durante um período mais longo na investigação avançada.
  • Utilize os operadores Kusto que utilizou no Microsoft Sentinel – em geral, as consultas de Microsoft Sentinel funcionam na investigação avançada, incluindo consultas que utilizam o adx() operador. Pode haver casos em que o IntelliSense o avisa de que os operadores na sua consulta não correspondem ao esquema. No entanto, ainda pode executar a consulta e esta ainda deve ser executada com êxito.
  • Utilize o menu pendente filtro de tempo em vez de definir o intervalo de tempo na consulta – se estiver a filtrar a ingestão de Defender XDR tabelas para Sentinel em vez de transmitir as tabelas tal como está, não filtre o tempo na consulta, uma vez que isto pode gerar resultados incompletos. Se definir a hora na consulta, os dados transmitidos em fluxo e filtrados de Sentinel são utilizados porque normalmente tem o período de retenção de dados mais longo. Se quiser certificar-se de que está a consultar todos os Defender XDR dados durante um máximo de 30 dias, utilize o menu pendente filtro de tempo fornecido no editor de consultas.
  • Ver SourceSystem e MachineGroup colunas para Defender XDR dados transmitidos a partir de Microsoft Sentinel – uma vez que as colunas e MachineGroup são adicionadas SourceSystem a Defender XDR tabelas depois de serem transmitidas para Microsoft Sentinel, também aparecem nos resultados da investigação avançada no Defender. No entanto, permanecem em branco para Defender XDR tabelas que não foram transmitidas em fluxo (tabelas que seguem o período de retenção de dados predefinido de 30 dias).

Nota

Utilizar o portal unificado, onde pode consultar Microsoft Sentinel dados após ligar uma área de trabalho Microsoft Sentinel, não significa automaticamente que também pode consultar Defender XDR dados durante Microsoft Sentinel. A ingestão de dados não processados de Defender XDR ainda deve ser configurada no Microsoft Sentinel para que isto aconteça.

Onde encontrar os seus dados de Microsoft Sentinel

Pode utilizar consultas KQL de investigação avançada (Linguagem de Pesquisa Kusto) para investigar Microsoft Defender XDR e Microsoft Sentinel dados.

Quando abre a página de investigação avançada pela primeira vez depois de ligar uma área de trabalho, pode encontrar muitas das tabelas dessa área de trabalho organizadas por solução após a Microsoft Defender XDR tabelas no separador Esquema.

Captura de ecrã do separador de esquema de investigação avançado no portal do Microsoft Defender a realçar a localização das tabelas Sentinel

Da mesma forma, pode encontrar as funções de Microsoft Sentinel no separador Funções e as suas consultas partilhadas e de exemplo de Microsoft Sentinel podem ser encontradas no separador Consultas dentro de pastas marcadas Sentinel.

Ver informações de esquema

Para saber mais sobre uma tabela de esquema, selecione as reticências verticais ( ícone de clique ) à direita de qualquer nome de tabela de esquema no separador Esquema e, em seguida, selecione Ver esquema.

No portal unificado, além de ver os nomes e descrições das colunas de esquema, também pode ver:

  • Dados de exemplo – selecione Ver dados de pré-visualização, que carrega uma consulta simples como TableName | take 5
  • Tipo de esquema – se a tabela suporta capacidades de consulta completas (tabela avançada) ou não (tabela de registos básicos)
  • Período de retenção de dados – durante quanto tempo os dados estão definidos para serem mantidos
  • Etiquetas – disponível para tabelas de dados Sentinel

Captura de ecrã do painel de informações do esquema no portal do Microsoft Defender

Problemas conhecidos

  • A IdentityInfo tableMicrosoft Sentinel não está disponível, uma vez que a IdentityInfo tabela permanece como está no Defender XDR. Microsoft Sentinel funcionalidades como regras de análise que consultam esta tabela não são afetadas, uma vez que estão a consultar diretamente a área de trabalho do Log Analytics.
  • A tabela Microsoft Sentinel SecurityAlert é substituída por AlertInfo tabelas eAlertEvidence, ambas, contêm todos os dados em alertas. Embora SecurityAlert não esteja disponível no separador de esquema, ainda pode utilizá-lo em consultas com o editor de investigação avançado. Esta aprovisionamento é feita para não interromper as consultas existentes de Microsoft Sentinel que utilizam esta tabela.
  • O modo de investigação guiada e as capacidades de ações são suportadas apenas para Defender XDR dados.
  • As deteções personalizadas têm as seguintes limitações:
    • As deteções personalizadas não estão disponíveis para consultas KQL que não incluam dados Defender XDR.
    • A frequência de deteção quase em tempo real não está disponível para deteções que incluam dados Microsoft Sentinel.
    • As funções personalizadas que foram criadas e guardadas em Microsoft Sentinel não são suportadas.
    • A definição de entidades de Sentinel dados ainda não é suportada em deteções personalizadas.
  • Os marcadores não são suportados na experiência de investigação avançada. São suportados na funcionalidade investigação de gestão > de ameaças Microsoft Sentinel>.
  • Se estiver a transmitir Defender XDR tabelas para o Log Analytics, poderá haver uma diferença entre asTimestamp colunas eTimeGenerated. Caso os dados cheguem ao Log Analytics após 48 horas, estão a ser substituídos após a ingestão para now(). Por conseguinte, para obter a hora real em que o evento aconteceu, recomendamos que dependa da Timestamp coluna.
  • Quando pedir a Copilot para Segurança para consultas de investigação avançadas, poderá descobrir que nem todas as tabelas Microsoft Sentinel são atualmente suportadas. No entanto, o suporte para estas tabelas pode ser esperado no futuro.

Consulte também