البحث الاستباقي عن التهديدات باستخدام الصيد المتقدم
ينطبق على:
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على تجربة مجانية.
الصيد المتقدم هو أداة بحث عن تهديدات تستند إلى استعلام تتيح لك استكشاف ما يصل إلى 30 يوما من البيانات الخام. يمكنك فحص الأحداث في شبكتك بشكل استباقي لتحديد موقع مؤشرات التهديدات والكيانات. يتيح الوصول المرن إلى البيانات البحث بدون قيود عن التهديدات المعروفة والمحتملة.
شاهد هذا الفيديو للحصول على نظرة عامة سريعة حول الصيد المتقدم والبرامج التعليمية القصيرة التي سوف تحصل على البدء بسرعة.
يمكنك استخدام استعلامات البحث عن المخاطر نفسها لإنشاء قواعد الكشف المخصصة. يتم تشغيل هذه القواعد تلقائيا للتحقق من نشاط الانتهاك المشتبه به والآلات التي تم تكوينها بشكل خاطئ والنتائج الأخرى ثم الاستجابة لها.
تلميح
استخدم الصيد المتقدم في Microsoft 365 Defender للبحث عن التهديدات باستخدام البيانات من Defender for Endpoint و Microsoft Defender for Office 365 و Microsoft Defender for Cloud Apps و Microsoft Defender for Identity. قم Microsoft 365 Defender.
تعرف على المزيد حول كيفية نقل مهام سير عمل الصيد المتقدمة من Microsoft Defender ل Endpoint إلى Microsoft 365 Defender في ترحيل استعلامات الصيد المتقدمة من Microsoft Defender ل Endpoint.
بدء استخدام الصيد المتقدم
انتقل إلى الخطوات التالية لزيادة معارفك المتقدمة في مجال الصيد.
نوصيك بالتخلص من عدة خطوات للانتهاء بسرعة وتشغيله باستخدام الصيد المتقدم.
| Learning الهدف | الوصف | المورد |
|---|---|---|
| تعرف على اللغة | يستند الصيد المتقدم إلى لغة استعلام Kusto، التي تدعم بناء الجملة نفسه و عوامل التشغيل نفسها. ابدأ تعلم لغة الاستعلام عن طريق تشغيل الاستعلام الأول. | نظرة عامة حول لغة الاستعلام |
| تعرف على كيفية استخدام نتائج الاستعلام | تعرف على المخططات وطرق مختلفة يمكنك من خلالها عرض النتائج أو تصديرها. استكشف كيفية تعديل الاستعلامات بسرعة والتحرك لأسفل للحصول على معلومات أكثر ثرية. | استخدام نتائج الاستعلام |
| فهم المخطط | احصل على فهم جيد و عال المستوى للجداول في المخطط والأعمدة الخاصة بها. تعرف على مكان البحث عن البيانات عند إنشاء الاستعلامات. | مرجع المخطط |
| استخدام استعلامات محددة مسبقا | استكشف مجموعات من الاستعلامات المحددة مسبقا التي تغطي سيناريوهات مختلفة لصيد التهديدات. | الاستعلامات المشتركة |
| تحسين الاستعلامات والتعامل مع الأخطاء | تعرف على كيفية إنشاء استعلامات فعالة خالية من الأخطاء. | أفضل ممارسات الاستعلام |
| الحصول على تغطية كاملة | استخدم إعدادات التدقيق لتوفير تغطية أفضل للبيانات لمنظمتك. | توسيع تغطية الصيد المتقدمة |
| تشغيل تحقيق سريع | يمكنك تشغيل استعلام بحث متقدم بسرعة للتحقق من النشاط المريب. | البحث بسرعة عن معلومات الكيان أو الحدث باستخدام البحث السريع |
| تحتوي على تهديدات وتنازلات في العنوان | الاستجابة للهجمات من خلال تقييد الملفات وتقييد تنفيذ التطبيق والإجراءات الأخرى | اتخاذ إجراء بشأن نتائج استعلام البحث المتقدمة |
| إنشاء قواعد الكشف المخصصة | تعرف على كيفية استخدام استعلامات البحث المتقدمة في تشغيل التنبيهات واتخاذ إجراءات الاستجابة تلقائيا. | نظرة عامة على الكشف المخصص |
تكرار تحديث البيانات وتحديثها
يمكن تصنيف بيانات الصيد المتقدمة إلى نوعين مميزين، يتم دمج كل منهما بشكل مختلف.
- بيانات النشاط أو الحدث: ملء الجداول حول التنبيهات، والأحداث المتعلقة الأمان، والأحداث في النظام، والتقييمات الروتينية. يتلقى الصيد المتقدم هذه البيانات مباشرة تقريبا بعد أن تقوم أدوات الاستشعار التي تجمعها بإرسالها بنجاح إلى Defender for Endpoint.
- بيانات الكيان: ت ملء الجداول بمعلومات مدمجة حول المستخدمين والأجهزة. تأتي هذه البيانات من مصادر بيانات ثابتة نسبيا ومصادر ديناميكية، مثل إدخالات Active Directory وسجلات الأحداث. لتوفير بيانات جديدة، يتم تحديث الجداول بأي معلومات جديدة كل 15 دقيقة، مما يضيف صفوفا قد لا تتم ملؤها بالكامل. يتم دمج البيانات كل 24 ساعة لإدراج سجل يحتوي على أحدث مجموعة بيانات وأكثرها شمولية حول كل كيان.
المنطقة الزمنية
توجد معلومات الوقت في الصيد المتقدم حاليا في المنطقة الزمنية UTC.
المواضيع ذات الصلة
الملاحظات
إرسال الملاحظات وعرضها المتعلقة بـ