Erstellen von benutzerdefinierten Suchabfragen in Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Suchen Sie mit benutzerdefinierten Hunting-Abfragen nach Sicherheitsbedrohungen in den Datenquellen Ihrer organization. Microsoft Sentinel bietet integrierte Huntingabfragen, mit denen Sie Probleme mit den Daten in Ihrem Netzwerk finden können. Sie können jedoch eigene benutzerdefinierte Abfragen erstellen. Weitere Informationen zu Hunting-Abfragen finden Sie unter Bedrohungssuche in Microsoft Sentinel.

Erstellen einer neuen Abfrage

Erstellen Sie in Microsoft Sentinel auf der RegisterkarteHuntingAbfragen> eine benutzerdefinierte Huntingabfrage.

  1. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Bedrohungsverwaltungssuche>aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsverwaltungdie Option Hunting aus.

  2. Wählen Sie die Registerkarte Abfragen aus.

  3. Wählen Sie auf der Befehlsleiste Neue Abfrage aus.

  4. Füllen Sie alle leeren Felder aus.

    1. Erstellen Sie Entitätszuordnungen, indem Sie Entitätstypen, Bezeichner und Spalten auswählen.

      Screenshot: Zuordnen von Entitätstypen in Huntingabfragen.

    2. Ordnen Sie MITRE ATT&CK-Techniken Ihren Huntingabfragen zu, indem Sie die Taktik, die Technik und die Untertechnik (falls zutreffend) auswählen.

      Neue Abfrage

  5. Wenn Sie die Abfrage definiert haben, wählen Sie Erstellen aus.

Klonen einer vorhandenen Abfrage

Klonen Sie eine benutzerdefinierte oder integrierte Abfrage, und bearbeiten Sie sie nach Bedarf.

  1. Wählen Sie auf der Registerkarte HuntingQueries (HuntingAbfragen>) die Hunting-Abfrage aus, die Sie klonen möchten.

  2. Wählen Sie die Auslassungspunkte (...) in der Zeile der Abfrage aus, die Sie ändern möchten, und wählen Sie Klonen aus.

  3. Bearbeiten Sie die Abfrage und andere Felder nach Bedarf.

  4. Wählen Sie Erstellen aus.

Bearbeiten einer vorhandenen benutzerdefinierten Abfrage

Es können nur Abfragen aus einer benutzerdefinierten Inhaltsquelle bearbeitet werden. Andere Inhaltsquellen müssen an dieser Quelle bearbeitet werden.

  1. Wählen Sie auf der Registerkarte HuntingQueries (HuntingAbfragen>) die Hunting-Abfrage aus, die Sie ändern möchten.

  2. Wählen Sie die Auslassungspunkte (...) in der Zeile der Abfrage aus, die Sie ändern möchten, und wählen Sie Bearbeiten aus.

  3. Aktualisieren Sie das Feld Abfrage mit der aktualisierten Abfrage. Sie können auch die Entitätszuordnung und -techniken ändern.

  4. Wenn Sie fertig sind, wählen Sie Speichern aus.

Verwandte Inhalte

  • Last updated on