Usare le query condivise nella ricerca avanzataUse shared queries in advanced hunting

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Si applica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender per endpointMicrosoft Defender for Endpoint

Le query Ricerca avanzata possono essere condivise tra con gli utenti della stessa organizzazione.Advanced hunting queries can be shared among users in the same organization. È anche possibile trovare query condivise pubblicamente su GitHub.You can also find queries shared publicly on GitHub. Queste query consentono di intraprendere rapidamente specifici scenari di ricerca delle minacce senza dover scrivere le query da zero.These queries let you quickly pursue specific threat hunting scenarios without having to write queries from scratch.

Immagine di query condivise

Salvare, modificare e condividere una querySave, modify, and share a query

È possibile salvare una query nuova o esistente in modo che sia solo accessibile all'utente o condivisa con altri utenti della propria organizzazione.You can save a new or existing query so that it is only accessible to you or shared with other users in your organization.

  1. Creare o modificare una query.Create or modify a query.

  2. Fare clic sul pulsante a discesa Salva query e selezionare Salva con nome.Click the Save query drop-down button and select Save as.

  3. Immettere un nome per la query.Enter a name for the query.

    Immagine del salvataggio di una query

  4. Selezionare la cartella in cui si vuole salvare la query.Select the folder where you'd like to save the query.

    • Query condivise: query condivise con tutti gli utenti dell'organizzazioneShared queries — shared to all users your organization
    • Query personali: query accessibili solo all'utenteMy queries — accessible only to you
  5. Selezionare Salva.Select Save.

Eliminare o rinominare una queryDelete or rename a query

  1. Fare clic con il pulsante destro del mouse su una query che si vuole rinominare o eliminare.Right-click on a query you want to rename or delete.

    Immagine dell'eliminazione di una query

  2. Selezionare Elimina per confermare l'eliminazione.Select Delete and confirm deletion. In alternativa, selezionare Rinomina e immettere un nuovo nome per la query.Or select Rename and provide a new name for the query.

Per generare un collegamento che apre la query direttamente nell'editor di query di ricerca avanzata, finalizzare la query e selezionare Condividi collegamento.To generate a link that opens your query directly in the advanced hunting query editor, finalize your query and select Share link.

Accedere alle query nel repository GitHubAccess queries in the GitHub repository

I ricercatori della sicurezza Microsoft condividono regolarmente query di ricerca avanzata in un repository pubblico designato in GitHub.Microsoft security researchers regularly share advanced hunting queries in a designated public repository on GitHub. È possibile collaborare a questo repository.This repository is open to contributions. Per collaborare, iscriversi a GitHub gratuitamente.To contribute, join GitHub for free.

Suggerimento

I ricercatori della sicurezza Microsoft forniscono anche query di ricerca avanzata che è possibile usare per trovare le attività e gli indicatori associati alle minacce emergenti.Microsoft security researchers also provide advanced hunting queries that you can use to locate activities and indicators associated with emerging threats. Queste query sono incluse nei report di analisi delle minacce nel Microsoft Defender Security Center.These queries are provided as part of the threat analytics reports in Microsoft Defender Security Center.

Nota

Alcune tabelle di questo articolo potrebbero non essere disponibili in Microsoft Defender per Endpoint.Some tables in this article might not be available in Microsoft Defender for Endpoint. Attivare Microsoft 365 Defender per cercare minacce che usano più origini dati.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Puoi spostare i flussi di lavoro di ricerca avanzata da Microsoft Defender per Endpoint a Microsoft 365 Defender seguendo la procedura descritta in Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per Endpoint.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.