Migrera avancerade jaktfrågor från Microsoft Defender för Endpoint

Gäller för:

  • Microsoft Defender XDR

Flytta dina avancerade jaktarbetsflöden från Microsoft Defender för Endpoint för att proaktivt söka efter hot med hjälp av en bredare uppsättning data. I Microsoft Defender XDR får du åtkomst till data från andra Microsoft 365-säkerhetslösningar, inklusive:

  • Microsoft Defender för Endpoint
  • Microsoft Defender för Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Obs!

De flesta Microsoft Defender för Endpoint kunder kan använda Microsoft Defender XDR utan ytterligare licenser. Starta Microsoft Defender XDR om du vill börja överföra dina avancerade jaktarbetsflöden från Defender för Endpoint.

Du kan gå över utan att påverka dina befintliga Defender för Endpoint-arbetsflöden. Sparade frågor förblir intakta och anpassade identifieringsregler fortsätter att köra och generera aviseringar. De kommer dock att visas i Microsoft Defender XDR.

Endast schematabeller i Microsoft Defender XDR

Det Microsoft Defender XDR avancerade jaktschemat innehåller ytterligare tabeller som innehåller data från olika Microsoft 365-säkerhetslösningar. Följande tabeller är endast tillgängliga i Microsoft Defender XDR:

Tabellnamn Beskrivning
AlertEvidence Filer, IP-adresser, URL:er, användare eller enheter som är associerade med aviseringar
AlertInfo Aviseringar från Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender for Identity, inklusive allvarlighetsgradsinformation och hotkategorier
EmailAttachmentInfo Information om filer som är kopplade till e-postmeddelanden
EmailEvents E-posthändelser i Microsoft 365, inklusive e-postleverans och blockerande händelser
EmailPostDeliveryEvents Säkerhetshändelser som inträffar efter leverans, efter att Microsoft 365 har levererat e-postmeddelandena till mottagarens postlåda
EmailUrlInfo Information om URL:er för e-postmeddelanden
IdentityDirectoryEvents Händelser som involverar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen beskriver en rad identitetsrelaterade händelser och systemhändelser på domänkontrollanten.
IdentityInfo Kontoinformation från olika källor, inklusive Microsoft Entra ID
IdentityLogonEvents Autentiseringshändelser i Active Directory och Microsoft onlinetjänster
IdentityQueryEvents Frågor för Active Directory-objekt, till exempel användare, grupper, enheter och domäner

Viktigt

Frågor och anpassade identifieringar som använder schematabeller som endast är tillgängliga i Microsoft Defender XDR kan bara visas i Microsoft Defender XDR.

Mappa tabellen DeviceAlertEvents

Tabellerna AlertInfo och AlertEvidence ersätter DeviceAlertEvents tabellen i det Microsoft Defender för Endpoint schemat. Förutom data om enhetsaviseringar innehåller dessa två tabeller data om aviseringar för identiteter, appar och e-postmeddelanden.

Använd följande tabell för att kontrollera hur DeviceAlertEvents kolumner mappas till kolumner i tabellerna AlertInfo och AlertEvidence .

Tips

Förutom kolumnerna i följande tabell AlertEvidence innehåller tabellen många andra kolumner som ger en mer holistisk bild av aviseringar från olika källor. Visa alla AlertEvidence-kolumner

Kolumnen DeviceAlertEvents Var du hittar samma data i Microsoft Defender XDR
AlertId AlertInfo och AlertEvidence tabeller
Timestamp AlertInfo och AlertEvidence tabeller
DeviceId AlertEvidence bord
DeviceName AlertEvidence bord
Severity AlertInfo bord
Category AlertInfo bord
Title AlertInfo bord
FileName AlertEvidence bord
SHA1 AlertEvidence bord
RemoteUrl AlertEvidence bord
RemoteIP AlertEvidence bord
AttackTechniques AlertInfo bord
ReportId Den här kolumnen används vanligtvis i Microsoft Defender för Endpoint för att hitta relaterade poster i andra tabeller. I Microsoft Defender XDR kan du hämta relaterade data direkt från AlertEvidence tabellen.
Table Den här kolumnen används vanligtvis i Microsoft Defender för Endpoint för ytterligare händelseinformation i andra tabeller. I Microsoft Defender XDR kan du hämta relaterade data direkt från AlertEvidence tabellen.

Justera befintliga Microsoft Defender för Endpoint frågor

Microsoft Defender för Endpoint frågor fungerar som de är om de inte refererar till DeviceAlertEvents tabellen. Tillämpa dessa ändringar om du vill använda dessa frågor i Microsoft Defender XDR:

  • Ersätt DeviceAlertEvents med AlertInfo.
  • Anslut tabellerna AlertInfoAlertEvidence och till AlertId för att hämta motsvarande data.

Ursprunglig fråga

Följande fråga använder DeviceAlertEvents i Microsoft Defender för Endpoint för att hämta aviseringarna som involverar powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Ändrad fråga

Följande fråga har justerats för användning i Microsoft Defender XDR. I stället för att kontrollera filnamnet direkt från DeviceAlertEventskopplas AlertEvidence det till och söker efter filnamnet i tabellen.

AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Migrera anpassade identifieringsregler

När Microsoft Defender för Endpoint regler redigeras på Microsoft Defender XDR fortsätter de att fungera som tidigare om den resulterande frågan endast tittar på enhetstabeller.

Till exempel kommer aviseringar som genereras av anpassade identifieringsregler som endast frågar efter enhetstabeller att levereras till SIEM och genererar e-postaviseringar, beroende på hur du har konfigurerat dessa i Microsoft Defender för Endpoint. Alla befintliga undertryckningsregler i Defender för Endpoint fortsätter också att gälla.

När du har redigerat en Defender för Endpoint-regel så att den frågar identitets- och e-posttabeller, som endast är tillgängliga i Microsoft Defender XDR, flyttas regeln automatiskt till Microsoft Defender XDR.

Aviseringar som genereras av den migrerade regeln:

  • Visas inte längre i Defender för Endpoint-portalen (Microsoft Defender Säkerhetscenter)
  • Sluta att levereras till SIEM eller generera e-postaviseringar. Du kan kringgå den här ändringen genom att konfigurera meddelanden via Microsoft Defender XDR för att få aviseringarna. Du kan använda Microsoft Defender XDR API för att ta emot meddelanden om kundidentifieringsaviseringar eller relaterade incidenter.
  • Undertrycks inte av Microsoft Defender för Endpoint undertryckningsregler. Om du vill förhindra att aviseringar genereras för vissa användare, enheter eller postlådor ändrar du motsvarande frågor för att uttryckligen undanta dessa entiteter.

Om du redigerar en regel på det här sättet uppmanas du att bekräfta innan sådana ändringar tillämpas.

Nya aviseringar som genereras av anpassade identifieringsregler i Microsoft Defender XDR visas på en aviseringssida som innehåller följande information:

  • Aviseringsrubrik och beskrivning
  • Påverkade tillgångar
  • Åtgärder som vidtas som svar på aviseringen
  • Frågeresultat som utlöste aviseringen
  • Information om den anpassade identifieringsregeln

Skriva frågor utan DeviceAlertEvents

I Microsoft Defender XDR-schemat tillhandahålls tabellerna AlertInfo och AlertEvidence för att hantera olika typer av information som medföljer aviseringar från olika källor.

Om du vill få samma aviseringsinformation som du använde för att hämta från DeviceAlertEvents tabellen i Microsoft Defender för Endpoint-schemat filtrerar AlertInfo du tabellen ServiceSource efter och kopplar sedan varje unikt ID till AlertEvidence tabellen, som innehåller detaljerad information om händelser och entiteter.

Se exempelfrågan nedan:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Den här frågan ger många fler kolumner än DeviceAlertEvents i Microsoft Defender för Endpoint-schemat. För att hålla resultaten hanterbara använder du project för att bara hämta de kolumner som du är intresserad av. Exemplet nedan projektkolumner som du kanske är intresserad av när undersökningen upptäckte PowerShell-aktivitet:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine

Om du vill filtrera efter specifika entiteter som ingår i aviseringarna kan du göra det genom att ange entitetstypen i EntityType och det värde som du vill filtrera efter. I följande exempel söker vi efter en specifik IP-adress:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.