Creare query di ricerca personalizzate in Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Cercare le minacce alla sicurezza nelle origini dati dell'organizzazione con query di ricerca personalizzate. Microsoft Sentinel fornisce query di ricerca predefinite per individuare i problemi nei dati presenti nella rete. È tuttavia possibile creare query personalizzate. Per altre informazioni sulla ricerca di query, vedere Ricerca di minacce in Microsoft Sentinel.

Creare una nuova query

In Microsoft Sentinel creare una query di ricerca personalizzata dalla scheda Query di ricerca>.

  1. Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Threat management>Hunting. Per Microsoft Sentinel nel portale di Azure, in Gestione minacce selezionare Ricerca.

  2. Selezionare la scheda Query .

  3. Nella barra dei comandi selezionare Nuova query.

  4. Compilare tutti i campi vuoti.

    1. Creare mapping di entità selezionando tipi di entità, identificatori e colonne.

      Screenshot per il mapping dei tipi di entità nelle query di ricerca.

    2. Eseguire il mapping di MITRE ATT&tecniche CK alle query di ricerca selezionando la tattica, la tecnica e la sotto-tecnica (se applicabile).

      Nuova query

  5. Al termine della definizione della query, selezionare Crea.

Clonare una query esistente

Clonare una query personalizzata o predefinita e modificarla in base alle esigenze.

  1. Nella schedaQuery di ricerca> selezionare la query di ricerca da clonare.

  2. Selezionare i puntini di sospensione (...) nella riga della query da modificare e selezionare Clona.

  3. Modificare la query e altri campi in base alle esigenze.

  4. Selezionare Crea.

Modificare una query personalizzata esistente

È possibile modificare solo le query provenienti da un'origine di contenuto personalizzata. Altre origini di contenuto devono essere modificate in tale origine.

  1. Nella schedaQuery di ricerca> selezionare la query di ricerca da modificare.

  2. Selezionare i puntini di sospensione (...) nella riga della query da modificare e selezionare Modifica.

  3. Aggiornare il campo Query con la query aggiornata. È anche possibile modificare il mapping delle entità e le tecniche.

  4. Al termine selezionare Salva.

Contenuto correlato

  • Last updated on