重要
根据世纪互联发布的公告,所有Microsoft Sentinel 功能将于 2026 年 8 月 18 日在世纪互联运营的 Azure 中正式停用。 由于即将停用此服务,客户将无法再启用新的订阅。
我们建议客户与由世纪互联运营的 Microsoft Azure 的帐户代表合作,以评估此停用对自身运营的影响。
使用自定义搜寻查询在整个组织的数据源中搜寻安全威胁。 Microsoft Sentinel 提供内置的搜寻查询,可帮助你发现网络上的数据问题。 但可以创建自己的自定义查询。 有关搜寻查询的详细信息,请参阅 Microsoft Sentinel 中的威胁搜寻。
新建查询
在 Microsoft Sentinel 中,从“搜寻”“查询”选项卡创建自定义搜寻查询>。
转到 Azure 门户,在“威胁管理”下,选择“搜寻”。
选择“查询”选项卡。
在命令栏中,选择“新建查询”。
填写所有空白字段。
通过选择实体类型、标识符和列创建实体映射。
通过选择策略、技术和子技术(如果适用)将 MITRE ATT&CK 技术映射到搜寻查询。
完成查询定义后,选择“创建”。
克隆现有查询
克隆自定义或内置查询,并根据需要对其进行编辑。
从“搜寻”“查询”选项卡中,选择要克隆的搜寻查询>。
在要修改的查询行中选择省略号 (...),然后选择“克隆”。
根据需要编辑查询和其他字段。
选择创建。
编辑现有自定义查询
只能编辑来自自定义内容源的查询。 其他内容源必须在对应的源那里进行编辑。
从“搜寻”“查询”选项卡中,选择要更改的搜寻查询>。
在要更改的查询行中选择省略号 (...),然后选择“编辑”。
使用更新的查询更新“查询”字段。 还可以更改实体映射和技术。
完成后,选择“保存”。