Microsoft Sentinel'de özel tehdit avcılığı sorguları oluşturma
Özel tehdit avcılığı sorguları ile kuruluşunuzun veri kaynakları genelinde güvenlik tehditlerini arayın. Microsoft Sentinel, ağınızdaki verilerdeki sorunları bulmanıza yardımcı olmak için yerleşik tehdit avcılığı sorguları sağlar. Ancak kendi özel sorgularınızı oluşturabilirsiniz. Tehdit avcılığı sorguları hakkında daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit avcılığı.
Yeni sorgu oluşturma
Microsoft Sentinel'de, Tehdit Avcılığı Sorguları sekmesinden özel bir tehdit avcılığı>sorgusu oluşturun.
Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit Avcılığı'nı seçin.
Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit Yönetimi>Avcılığı'nı seçin.Sorgular sekmesini seçin.
Komut çubuğundan Yeni sorgu'yu seçin.
Tüm boş alanları doldurun.
Varlık türlerini, tanımlayıcıları ve sütunları seçerek varlık eşlemeleri oluşturun.
Taktik, teknik ve alt tekniği (varsa) seçerek MITRE ATT&CK tekniklerini avcılık sorgularınıza eşleyin.
Sorgunuzu tanımlamayı bitirdiğinizde Oluştur'u seçin.
Var olan sorguyu kopyalama
Özel veya yerleşik bir sorguyu kopyalayıp gerektiği gibi düzenleyin.
Avlanma>Sorguları sekmesinden kopyalamak istediğiniz tehdit avcılığı sorgusunu seçin.
Değiştirmek istediğiniz sorgunun satırında üç noktayı (...) ve ardından Kopyala'yı seçin.
Sorguyu ve diğer alanları uygun şekilde düzenleyin.
Oluştur'u belirleyin.
Mevcut özel sorguyu düzenleme
Yalnızca özel içerik kaynağından gelen sorgular düzenlenebilir. Diğer içerik kaynaklarının bu kaynakta düzenlenmesi gerekir.
Tehdit Avcılığı>Sorguları sekmesinden değiştirmek istediğiniz tehdit avcılığı sorgusunu seçin.
Değiştirmek istediğiniz sorgunun satırında üç noktayı (...) ve ardından Düzenle'yi seçin.
Sorgu alanını güncelleştirilmiş sorguyla güncelleştirin. Varlık eşlemesini ve tekniklerini de değiştirebilirsiniz.
İşiniz bittiğinde Kaydet'i seçin.