在 Microsoft Sentinel 中创建自定义搜寻查询

使用自定义搜寻查询在整个组织的数据源中搜寻安全威胁。 Microsoft Sentinel 提供内置的搜寻查询,可帮助你发现网络上的数据问题。 但可以创建自己的自定义查询。 有关搜寻查询的详细信息,请参阅 Microsoft Sentinel 中的威胁搜寻

新建查询

在 Microsoft Sentinel 中,从“搜寻”>“查询”选项卡创建自定义搜寻查询

  1. 转到 Azure 门户,在“威胁管理”下,选择“搜寻”

  2. 选择“查询”选项卡

  3. 在命令栏中,选择“新建查询”

    保存查询

  4. 填写所有空白字段。

    1. 通过选择实体类型、标识符和列创建实体映射。

      用于在搜寻查询中映射实体类型的屏幕截图。

    2. 通过选择策略、技术和子技术(如果适用)将 MITRE ATT&CK 技术映射到搜寻查询。

      新查询

  5. 完成查询定义后,选择“创建”

克隆现有查询

克隆自定义或内置查询,并根据需要对其进行编辑。

  1. 从“搜寻”>“查询”选项卡中,选择要克隆的搜寻查询

  2. 在要修改的查询行中选择省略号 (...),然后选择“克隆”

    克隆查询

  3. 根据需要编辑查询和其他字段。

  4. 选择创建

编辑现有自定义查询

只能编辑来自自定义内容源的查询。 其他内容源必须在对应的源那里进行编辑。

  1. 从“搜寻”>“查询”选项卡中,选择要更改的搜寻查询

  2. 在要更改的查询行中选择省略号 (...),然后选择“编辑”

  3. 使用更新的查询更新“查询”字段。 还可以更改实体映射和技术。

  4. 完成后,选择“保存”