Recherche proactive des menaces avec le chasse avancéeProactively hunt for threats with advanced hunting

S’applique à :Applies to:

Vous souhaitez faire l'expérience de Defender pour point de terminaison ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Le repérage avancé est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes.Advanced hunting is a query-based threat-hunting tool that lets you explore up to 30 days of raw data. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et entités de menace.You can proactively inspect events in your network to locate threat indicators and entities. L'accès flexible aux données permet un recherche sans contraintes pour les menaces connues et potentielles.The flexible access to data enables unconstrained hunting for both known and potential threats.

Regardez cette vidéo pour obtenir une vue d'ensemble rapide de la recherche avancée et un bref didacticiel qui vous aidera à démarrer rapidement.Watch this video for a quick overview of advanced hunting and a short tutorial that will get you started fast.

Vous pouvez utiliser les mêmes requêtes de repérage de menaces pour créer des règles de détection personnalisées.You can use the same threat-hunting queries to build custom detection rules. Ces règles s'exécutent automatiquement pour vérifier et répondre aux activités suspectées de violation, aux ordinateurs mal configurés et à d'autres conclusions.These rules run automatically to check for and then respond to suspected breach activity, misconfigured machines, and other findings.

Conseil

Utilisez le chasse avancée dans Microsoft 365 Defender pour la recherche de menaces à l'aide des données de Defender pour le point de terminaison, Microsoft Defender pour Office 365, Microsoft Cloud App Security et Microsoft Defender pour l'identité.Use advanced hunting in Microsoft 365 Defender to hunt for threats using data from Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity. Activer Microsoft 365 Defender.Turn on Microsoft 365 Defender.

En savoir plus sur la façon de déplacer vos flux de travail de recherche avancée de Microsoft Defender pour point de terminaison vers Microsoft 365 Defender dans Migrer les requêtes de recherche avancée à partir de Microsoft Defender pour point de terminaison.Learn more about how to move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender in Migrate advanced hunting queries from Microsoft Defender for Endpoint.

Prise en main du repérage avancéGet started with advanced hunting

Pour accélérer vos connaissances en matière de recherche avancée, vous suivrez les étapes suivantes.Go through the following steps to ramp up your advanced hunting knowledge.

Nous vous recommandons de suivre plusieurs étapes pour devenir rapidement opérationnel avec le repérage avancé.We recommend going through several steps to quickly get up and running with advanced hunting.

Objectif d’apprentissageLearning goal DescriptionDescription RessourceResource
Découvrir la langueLearn the language La recherche avancée est basée sur le langage de requête Kusto,en charge de la même syntaxe et des mêmes opérateurs.Advanced hunting is based on Kusto query language, supporting the same syntax and operators. Commencez à découvrir le langage de requête en exécutant votre première requête.Start learning the query language by running your first query. Vue d'ensemble du language de requêteQuery language overview
Découvrez comment utiliser les résultats de la requêteLearn how to use the query results Découvrez les graphiques et les différentes façons d'afficher ou d'exporter vos résultats.Learn about charts and various ways you can view or export your results. Découvrez comment modifier rapidement les requêtes et explorer les détails pour obtenir des informations plus riches.Explore how you can quickly tweak queries and drill down to get richer information. Utiliser les résultats d’une requêteWork with query results
Comprendre le schémaUnderstand the schema Obtenez une compréhension optimale des tableaux du schéma et de leurs colonnes.Get a good, high-level understanding of the tables in the schema and their columns. Découvrez où rechercher des données lors de la construction de vos requêtes.Learn where to look for data when constructing your queries. Référence de schémaSchema reference
Utiliser des requêtes prédéfiniesUse predefined queries Explorez les collections de requêtes prédéfinies couvrant différents scénarios de repérage de menaces.Explore collections of predefined queries covering different threat hunting scenarios. Requêtes partagéesShared queries
Optimiser les requêtes et gérer les erreursOptimize queries and handle errors Comprendre comment créer des requêtes efficaces et sans erreur.Understand how to create efficient and error-free queries. - Meilleures pratiques en matière de requête- Query best practices
- Gérer les erreurs- Handle errors
Obtenir la couverture la plus complèteGet the most complete coverage Utilisez les paramètres d'audit pour fournir une meilleure couverture des données à votre organisation.Use audit settings to provide better data coverage for your organization. - Étendre la couverture de recherche avancée- Extend advanced hunting coverage
Exécuter un examen rapideRun a quick investigation Exécutez rapidement une requête de recherche avancée pour examiner les activités suspectes.Quickly run an advanced hunting query to investigate suspicious activity. - Recherche rapide des informations sur l'entité ou les événements avec la recherche de go- Quickly hunt for entity or event information with go hunt
Contenir des menaces et résoudre les compromissionsContain threats and address compromises Répondre aux attaques en mettre en quarantaine des fichiers, en limitant l'exécution de l'application et d'autres actionsRespond to attacks by quarantining files, restricting app execution, and other actions - Prendre des mesures sur les résultats de requête de recherche avancée- Take action on advanced hunting query results
Créer des règles de détection personnaliséesCreate custom detection rules Comprendre comment utiliser des requêtes de recherche avancées pour déclencher des alertes et prendre des actions de réponse automatiquement.Understand how you can use advanced hunting queries to trigger alerts and take response actions automatically. - Vue d'ensemble des détections personnalisées- Custom detections overview
- Règles de détection personnalisées- Custom detection rules

Actualisation des données et fréquence de mise à jourData freshness and update frequency

Les données de recherche avancée peuvent être classées en deux types distincts, chacun consolidé différemment.Advanced hunting data can be categorized into two distinct types, each consolidated differently.

  • Données d'événement ou d'activité : remplit des tableaux sur les alertes, les événements de sécurité, les événements système et les évaluations de routine.Event or activity data—populates tables about alerts, security events, system events, and routine assessments. Le recherche avancée reçoit ces données presque immédiatement après que les capteurs qui les collectent les transmettent avec succès à Defender for Endpoint.Advanced hunting receives this data almost immediately after the sensors that collect them successfully transmit them to Defender for Endpoint.
  • Données d'entité: remplit les tableaux avec des informations consolidées sur les utilisateurs et les appareils.Entity data—populates tables with consolidated information about users and devices. Ces données proviennent à la fois de sources de données relativement statiques et de sources dynamiques, telles que les entrées Active Directory et les journaux d'événements.This data comes from both relatively static data sources and dynamic sources, such as Active Directory entries and event logs. Pour fournir des données actualisées, les tableaux sont mis à jour avec de nouvelles informations toutes les 15 minutes, en ajoutant des lignes qui peuvent ne pas être entièrement remplies.To provide fresh data, tables are updated with any new information every 15 minutes, adding rows that might not be fully populated. Toutes les 24 heures, les données sont consolidées pour insérer un enregistrement qui contient le jeu de données le plus récent et le plus complet sur chaque entité.Every 24 hours, data is consolidated to insert a record that contains the latest, most comprehensive data set about each entity.

Fuseau horaireTime zone

Les informations de temps dans le hunting avancé se trouve actuellement dans le fuseau horaire UTC.Time information in advanced hunting is currently in the UTC time zone.