在 Microsoft Sentinel 中创建自定义搜寻查询

使用自定义搜寻查询在整个组织的数据源中搜寻安全威胁。 Microsoft Sentinel 提供内置的搜寻查询，可帮助你发现网络上的数据问题。 但可以创建自己的自定义查询。 有关搜寻查询的详细信息，请参阅 Microsoft Sentinel 中的威胁搜寻。

新建查询

在 Microsoft Sentinel 中，从“搜寻”>“查询”选项卡创建自定义搜寻查询。

1. 转到 Azure 门户，在“威胁管理”下，选择“搜寻”。

2. 选择“查询”选项卡。

3. 在命令栏中，选择“新建查询”。

   

4. 填写所有空白字段。

   1. 通过选择实体类型、标识符和列创建实体映射。

      

   2. 通过选择策略、技术和子技术（如果适用）将 MITRE ATT&CK 技术映射到搜寻查询。

      

5. 完成查询定义后，选择“创建”。

克隆现有查询

克隆自定义或内置查询，并根据需要对其进行编辑。

1. 从“搜寻”>“查询”选项卡中，选择要克隆的搜寻查询。

2. 在要修改的查询行中选择省略号 (...)，然后选择“克隆”。

   

3. 根据需要编辑查询和其他字段。

4. 选择创建。

编辑现有自定义查询

只能编辑来自自定义内容源的查询。 其他内容源必须在对应的源那里进行编辑。

1. 从“搜寻”>“查询”选项卡中，选择要更改的搜寻查询。

2. 在要更改的查询行中选择省略号 (...)，然后选择“编辑”。

3. 使用更新的查询更新“查询”字段。 还可以更改实体映射和技术。

4. 完成后，选择“保存”。

相关内容

• KQL 快速参考
• 高级安全信息模型 (ASIM) 分析程序
• Microsoft Sentinel 中的威胁搜寻