Proaktivt jagt efter trusler med avanceret jagt i Microsoft Defender XDR

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Avanceret jagt er et forespørgselsbaseret trusselsjagtværktøj, der giver dig mulighed for at udforske op til 30 dages rådata. Du kan proaktivt inspicere hændelser i dit netværk for at finde trusselsindikatorer og -enheder. Den fleksible adgang til data muliggør uforbeholden jagt på både kendte og potentielle trusler.

Avanceret jagt understøtter to tilstande, guidet og avanceret. Brug automatiseret tilstand , hvis du endnu ikke kender Kusto Query Language (KQL), eller foretrækker bekvemmeligheden ved en forespørgselsgenerator. Brug avanceret tilstand , hvis du er fortrolig med at bruge KQL til at oprette forespørgsler fra bunden.

Hvis du vil på jagt, skal du læse Vælg mellem guidede og avancerede tilstande at jage i Microsoft Defender XDR.

Du kan bruge de samme trusselsjagtforespørgsler til at oprette brugerdefinerede registreringsregler. Disse regler kører automatisk for at kontrollere for og derefter reagere på mistanke om brudaktivitet, forkert konfigurerede maskiner og andre resultater.

Avanceret jagt understøtter forespørgsler, der kontrollerer et bredere datasæt, der kommer fra:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Hvis du vil bruge avanceret jagt, skal du slå Microsoft Defender XDR til.

Du kan finde flere oplysninger om avanceret jagt i Microsoft Defender for Cloud Apps data i videoen.

Få adgang

Hvis du vil bruge avanceret jagt eller andre Microsoft Defender XDR funktioner, skal du have en passende rolle i Microsoft Entra ID. Læs om påkrævede roller og tilladelser til avanceret jagt.

Din adgang til slutpunktsdata bestemmes også af RBAC-indstillinger (role-based access control) i Microsoft Defender for Endpoint. Læs om administration af adgang til Microsoft Defender XDR.

Opdateringshyppighed og opdateringshyppighed for data

Avancerede jagtdata kan kategoriseres i to forskellige typer, der hver især konsolideres forskelligt.

  • Hændelses- eller aktivitetsdata – udfylder tabeller om beskeder, sikkerhedshændelser, systemhændelser og rutinevurderinger. Avanceret jagt modtager disse data næsten umiddelbart efter sensorerne, der indsamler dem, overfører dem til de tilsvarende cloudtjenester. Du kan f.eks. forespørge om hændelsesdata fra sunde sensorer på arbejdsstationer eller domænecontrollere næsten umiddelbart efter, at de er tilgængelige på Microsoft Defender for Endpoint og Microsoft Defender for Identity.
  • Objektdata – udfylder tabeller med oplysninger om brugere og enheder. Disse data kommer fra både relativt statiske datakilder og dynamiske kilder, f.eks. Active Directory-poster og hændelseslogge. For at levere nye data opdateres tabeller med nye oplysninger hvert 15. minut og tilføjer rækker, der muligvis ikke er udfyldt fuldt ud. Hver 24. time konsolideres data for at indsætte en post, der indeholder det nyeste og mest omfattende datasæt om hvert objekt.

Tidszone

Forespørgsler

Avancerede jagtdata bruger UTC-tidszonen (Universal Time Coordinated). Skærmbillede af brugerdefineret tidsinterval.

Forespørgsler skal oprettes i UTC.

Resultater

Avancerede jagtresultater konverteres til den tidszone, der er angivet i Microsoft Defender XDR.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.