Proaktive Suche nach Bedrohungen mit erweiterter Suche

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Bei der erweiterten Suche handelt es sich um ein abfragebasiertes Tool für die Bedrohungssuche, mit dem Sie Rohdaten von bis zu 30 Tagen erkunden können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht eine uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Sehen Sie sich dieses Video an, um einen schnellen Überblick über die erweiterte Suche und ein kurzes Lernprogramm zu erhalten, das Ihnen den schnellen Einstieg ermöglicht.

Sie können die gleichen Abfragen für die Bedrohungssuche verwenden, um benutzerdefinierte Erkennungsregeln zu erstellen. Diese Regeln werden automatisch ausgeführt, um nach verdächtigen Sicherheitsverletzungen, falsch konfigurierten Computern und anderen Ergebnissen zu suchen und dann darauf zu reagieren.

Tipp

Verwenden Sie die erweiterte Suche in Microsoft 365 Defender, um nach Bedrohungen zu suchen, indem Sie Daten von Defender für Endpunkt, Microsoft Defender für Office 365, Microsoft Defender für Cloud-Apps und Microsoft Defender for Identity verwenden. Aktivieren Sie Microsoft 365 Defender.

Erfahren Sie mehr darüber, wie Sie Ihre Workflows für die erweiterte Suche von Microsoft Defender für Endpunkt in Microsoft 365 Defender migrieren, wenn Sie Abfragen für die erweiterte Suche von Microsoft Defender für Endpunkt migrieren.

Erste Schritte mit der erweiterten Suche

Gehen Sie die folgenden Schritte durch, um Ihr erweitertes Suchwissen zu erweitern.

Es wird empfohlen, mehrere Schritte durchzugehen, um schnell mit der Verwendung der erweiterten Suche loszulegen.



Lernziel Beschreibung Ressource
Erlernen der Sprache Die erweiterte Suche basiert auf der Kusto-Abfragespracheund unterstützt die gleiche Syntax und dieselben Operatoren. Beginnen Sie, die Abfragesprache zu erlernen, indem Sie die erste Abfrage ausführen. Übersicht über die Abfragesprache
Erfahren Sie, wie Sie die Abfrageergebnisse verwenden Erfahren Sie mehr über Diagramme und verschiedene Möglichkeiten zum Anzeigen oder Exportieren Ihrer Ergebnisse. Erfahren Sie, wie Sie Abfragen schnell optimieren und einen Drilldown durchführen können, um umfassendere Informationen zu erhalten. Arbeiten mit Abfrageergebnissen
Grundlegendes zum Schema Verschaffen Sie sich einen allgemeinen Überblick über die Tabellen im Schema und die zugehörigen Spalten. Erfahren Sie, wo Sie beim Erstellen von Abfragen nach Daten suchen können. Schemareferenz
Verwenden vordefinierter Abfragen Erkunden Sie Sammlungen vordefinierten Abfragen, die unterschiedliche Bedrohungssuchszenarien umfassen. Freigegebene Abfragen
Optimieren von Abfragen und Behandeln von Fehlern Verstehen, wie effiziente und fehlerfreie Abfragen erstellt werden. Bewährte Methoden für Abfragen

Fehlerbehandlung

Erhalten Sie die umfassendste Abdeckung Verwenden Sie Überwachungseinstellungen, um eine bessere Datenabdeckung für Ihre Organisation bereitzustellen. Erweitern der erweiterten Suchabdeckung
Ausführen einer schnellen Untersuchung Führen Sie schnell eine erweiterte Suchabfrage aus, um verdächtige Aktivitäten zu untersuchen. Schnelle Suche nach Entitäts- oder Ereignisinformationen mit go hunt
Bedrohungen enthalten und Kompromittierungen beheben Reagieren Sie auf Angriffe, indem Sie Dateien einschränken, die Ausführung von Apps einschränken und andere Aktionen ausführen. Ergreifen von Maßnahmen für Abfrageergebnisse der erweiterten Suche
Regeln für die benutzerdefinierte Erkennung erstellen Erfahren Sie, wie Sie abfragen erweiterte Suche verwenden können, um Warnungen auszulösen und reaktionsaktionen automatisch auszuführen. Benutzerdefinierte Erkennungen – Übersicht

Regeln für die benutzerdefinierte Erkennung

Aktualität und Aktualisierungshäufigkeit von Daten

Erweiterte Suchdaten können in zwei verschiedene Typen kategorisiert werden, die jeweils unterschiedlich konsolidiert werden.

  • Ereignis- oder Aktivitätsdaten: Füllt Tabellen zu Warnungen, Sicherheitsereignissen, Systemereignissen und Routinebewertungen. Die erweiterte Suche empfängt diese Daten fast unmittelbar nach den Sensoren, die sie sammeln, und überträgt sie erfolgreich an Defender für Endpunkt.
  • Entitätsdaten: Füllt Tabellen mit konsolidierten Informationen zu Benutzern und Geräten auf. Diese Daten stammen sowohl aus relativ statischen Datenquellen als auch aus dynamischen Quellen, z. B. Active Directory-Einträgen und Ereignisprotokollen. Um neue Daten bereitzustellen, werden Tabellen alle 15 Minuten mit neuen Informationen aktualisiert, wobei Zeilen hinzugefügt werden, die möglicherweise nicht vollständig ausgefüllt sind. Alle 24 Stunden werden die Daten konsolidiert, um einen Datensatz einzufügen, der den neuesten, umfassendsten Datensatz zu jeder Entität enthält.

Zeitzone

Zeitinformationen in der erweiterten Suche befinden sich derzeit in der UTC-Zeitzone.