Proaktive Suche nach Bedrohungen mit erweiterter Suche in Microsoft 365 Defender

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Erfahrung bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Gilt für:

  • Microsoft 365 Defender

Möchten Sie Microsoft 365 Defender erleben? Sie können in einer Laborumgebung auswerten oder Ihr Pilotprojekt in der Produktionsumgebung ausführen.

Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie rohe Daten von bis zu 30 Tagen untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht eine uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.

Sie können die gleichen Abfragen für die Bedrohungssuche verwenden, um benutzerdefinierte Erkennungsregeln zu erstellen. Diese Regeln werden automatisch ausgeführt, um nach verdächtigen Sicherheitsverletzungen, falsch konfigurierten Computern und anderen Ergebnissen zu suchen und dann darauf zu reagieren.

Diese Funktion ähnelt der erweiterten Suche in Microsoft Defender für Endpunkt und unterstützt Abfragen, die einen größeren Datensatz überprüfen:

  • Microsoft Defender für Endpunkt
  • Microsoft Defender für Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Um die erweiterte Suche zu verwenden, aktivieren Sie Microsoft 365 Defender.

Weitere Informationen zur erweiterten Suche in Microsoft Defender für Cloud Apps-Daten finden Sie im Video.

Erste Schritte mit der erweiterten Suche

Es wird empfohlen, mehrere Schritte zu durchlaufen, um schnell mit der erweiterten Suche zu beginnen.

Lernziel Beschreibung Ressource
Erlernen der Sprache Die erweiterte Suche basiert auf der Kusto-Abfragespracheund unterstützt die gleiche Syntax und dieselben Operatoren. Beginnen Sie, die Abfragesprache zu erlernen, indem Sie die erste Abfrage ausführen. Übersicht über die Abfragesprache
Erfahren Sie, wie Sie die Abfrageergebnisse verwenden Erfahren Sie mehr über Diagramme und verschiedene Möglichkeiten zum Anzeigen oder Exportieren Ihrer Ergebnisse. Erfahren Sie, wie Sie Abfragen schnell optimieren, einen Drilldown durchführen können, um umfassendere Informationen zu erhalten, und Reaktionsaktionen ausführen können. - Arbeiten mit Abfrageergebnissen
- Ergreifen von Maßnahmen für Abfrageergebnisse
Grundlegendes zum Schema Verschaffen Sie sich einen allgemeinen Überblick über die Tabellen im Schema und die zugehörigen Spalten. Erfahren Sie, wo Sie beim Erstellen von Abfragen nach Daten suchen können. - Schemareferenz
- Übergang von Microsoft Defender für Endpunkt
Tipps und Beispiele für Experten abrufen Schulen Sie kostenlos mit Handbüchern von Microsoft-Experten. Erkunden Sie Sammlungen vordefinierten Abfragen, die unterschiedliche Bedrohungssuchszenarien umfassen. - Expertenschulung erhalten
- Verwenden freigegebener Abfragen
- Auf Suche gehen
- Suche nach Bedrohungen über Geräte, E-Mails, Apps und Identitäten hinweg
Optimieren von Abfragen und Behandeln von Fehlern Verstehen, wie effiziente und fehlerfreie Abfragen erstellt werden. - Bewährte Methoden für Abfragen
- Behandeln von Fehlern
Regeln für die benutzerdefinierte Erkennung erstellen Erfahren Sie, wie Sie abfragen erweiterte Suche verwenden können, um Warnungen auszulösen und reaktionsaktionen automatisch auszuführen. - Übersicht über benutzerdefinierte Erkennungen
- Benutzerdefinierte Erkennungsregeln

Zugriff erhalten

Für die Verwendung der erweiterten Suche oder anderer Microsoft 365 Defender-Funktionen benötigen Sie eine entsprechende Rolle in Azure Active Directory. Lesen Sie mehr über die erforderlichen Rollen und Berechtigungen für die erweiterte Suche.

Außerdem wird Ihr Zugriff auf Endpunktdaten durch die Einstellungen für die rollenbasierte Zugriffssteuerung (RBAC) in Microsoft Defender für Endpunkt bestimmt. Informationen zum Verwalten des Zugriffs auf Microsoft 365 Defender.

Aktualität und Aktualisierungshäufigkeit von Daten

Erweiterte Suchdaten können in zwei verschiedene Typen kategorisiert werden, die jeweils unterschiedlich konsolidiert werden.

  • Ereignis- oder Aktivitätsdaten– füllt Tabellen zu Warnungen, Sicherheitsereignissen, Systemereignissen und Routinebewertungen. Die erweiterte Suche empfängt diese Daten fast unmittelbar nach den Sensoren, die sie erfassen, und überträgt sie erfolgreich an die entsprechenden Clouddienste. Sie können beispielsweise Ereignisdaten von fehlerfreien Sensoren auf Arbeitsstationen oder Domänencontrollern fast unmittelbar abfragen, nachdem sie in Microsoft Defender für Endpunkt und Microsoft Defender for Identity verfügbar sind.
  • Entitätsdaten– füllt Tabellen mit Informationen zu Benutzern und Geräten auf. Diese Daten stammen sowohl aus relativ statischen Datenquellen als auch aus dynamischen Quellen, z. B. Active Directory-Einträgen und Ereignisprotokollen. Um neue Daten bereitzustellen, werden Tabellen alle 15 Minuten mit neuen Informationen aktualisiert, wobei Zeilen hinzugefügt werden, die möglicherweise nicht vollständig ausgefüllt sind. Alle 24 Stunden werden die Daten konsolidiert, um einen Datensatz einzufügen, der den neuesten, umfassendsten Datensatz zu jeder Entität enthält.

Zeitzone

Die Zeitinformationen in der erweiterten Suche befinden sich in der UTC-Zeitzone.