Azure Sentinel包含功能強大的查詢工具，可協助為資安人員找出並隔離公司環境內安全

性威脅與非必要活動。

使用內建查詢進行搜捕

我們可以使用Azure Sentinel中的搜尋與查詢工具,尋找整個環境中的安全性威脅與

手段。搜捕查詢可讓我們篩選大量的事件及安全性資料來源,以找出潛在威脅或追蹤

已知或預期的威脅。

Azure Sentinel中的搜捕頁面有內建查詢。這些查詢可以引導我們搜尋流程,並協助

我們經過適當的搜捕途徑,找出環境中的問題。

搜捕查詢可將不明顯的問題加以公開，這些問題雖然不會產生警示，但在一段時間內

頻繁發生，因而有進行調查的必要。

管理搜捕查詢

當從清單中選取查詢時,查詢詳細資料會出現在新的窗格中。

查詢詳細資料窗格包含描述、程式碼以及查詢相關的其他資訊。

使用MITRE ATT&CK架構搜捕威脅

Azure Sentinel使用 MITRE ATT&CK架構,依據手段來分類及排序查詢。

ATT&CK是一個知識庫，囊括在全球威脅環境中所使用及觀察到的手段與技巧。

我們可以使用MITRE ATT&CK來開發和通知Azure Sentinel中的威脅搜捕模型與方法。

在Azure Sentinel中進行威脅搜捕時,可透過ATT&CK架構,使用 MITRE ATT&CK手段

時間表來分類並執行查詢。