사용자 지정 헌팅 쿼리를 사용하여 organization 데이터 원본에서 보안 위협을 헌팅합니다. Microsoft Sentinel 네트워크에 있는 데이터에서 문제를 찾는 데 도움이 되는 기본 제공 헌팅 쿼리를 제공합니다. 하지만 사용자 지정 쿼리를 직접 만들 수 있습니다. 헌팅 쿼리에 대한 자세한 내용은 Microsoft Sentinel 위협 헌팅을 참조하세요.
새 쿼리 만들기
Microsoft Sentinel 헌팅 쿼리 탭에서 사용자 지정 헌팅>쿼리를 만듭니다.
Defender 포털의 Microsoft Sentinel Microsoft Sentinel관리>헌팅을 선택합니다>. Azure Portal Microsoft Sentinel위협 관리에서 헌팅을 선택합니다.
쿼리 탭 을 선택합니다.
명령 모음에서 새 쿼리를 선택합니다.
빈 필드를 모두 입력합니다.
엔터티 형식, 식별자 및 열을 선택하여 엔터티 매핑을 만듭니다.
전술, 기술 및 하위 기술(해당하는 경우)을 선택하여 MITRE ATT&CK 기술을 헌팅 쿼리에 매핑합니다.
쿼리 정의가 완료되면 만들기를 선택합니다.
기존 쿼리 복제
사용자 지정 또는 기본 제공 쿼리를 복제하고 필요에 따라 편집합니다.
헌팅>쿼리 탭에서 복제하려는 헌팅 쿼리를 선택합니다.
수정하려는 쿼리 줄에서 줄임표(...)를 선택하고 복제를 선택합니다.
쿼리 및 기타 필드를 적절하게 편집합니다.
만들기를 선택합니다.
기존 사용자 지정 쿼리 편집
사용자 지정 콘텐츠 원본의 쿼리만 편집할 수 있습니다. 다른 콘텐츠 원본은 해당 원본에서 편집해야 합니다.
헌팅>쿼리 탭에서 변경할 헌팅 쿼리를 선택합니다.
변경할 쿼리 줄에서 줄임표(...)를 선택하고 편집을 선택합니다.
업데이트된 쿼리로 쿼리 필드를 업데이트합니다. 엔터티 매핑 및 기술을 변경할 수도 있습니다.
완료되면 저장을 선택합니다.