在 Microsoft Sentinel 中创建自定义搜寻查询
使用自定义搜寻查询在整个组织的数据源中搜寻安全威胁。 Microsoft Sentinel 提供内置的搜寻查询,可帮助你发现网络上的数据问题。 但可以创建自己的自定义查询。 有关搜寻查询的详细信息,请参阅 Microsoft Sentinel 中的威胁搜寻。
新建查询
在 Microsoft Sentinel 中,从“搜寻”>“查询”选项卡创建自定义搜寻查询。
转到 Azure 门户,在“威胁管理”下,选择“搜寻”。
选择“查询”选项卡。
在命令栏中,选择“新建查询”。
填写所有空白字段。
完成查询定义后,选择“创建”。
克隆现有查询
克隆自定义或内置查询,并根据需要对其进行编辑。
编辑现有自定义查询
只能编辑来自自定义内容源的查询。 其他内容源必须在对应的源那里进行编辑。
从“搜寻”>“查询”选项卡中,选择要更改的搜寻查询。
在要更改的查询行中选择省略号 (...),然后选择“编辑”。
使用更新的查询更新“查询”字段。 还可以更改实体映射和技术。
完成后,选择“保存”。