Usare le query condivise nella ricerca avanzataUse shared queries in advanced hunting

Importante

Benvenuti in Microsoft 365 Defender, il nuovo nome per Microsoft Threat Protection.Welcome to Microsoft 365 Defender, the new name for Microsoft Threat Protection. Altre informazioni su questo e altri aggiornamenti sono disponibili qui.Read more about this and other updates here. A breve aggiorneremo i nomi nei prodotti e nei documentiWe'll be updating names in products and in the docs in the near future

Si applica a:Applies to:

  • Microsoft Threat ProtectionMicrosoft Threat Protection

Le query Ricerca avanzata possono essere condivise tra con gli utenti della stessa organizzazione.Advanced hunting queries can be shared among users in the same organization. È anche possibile trovare query condivise pubblicamente su GitHub.You can also find queries shared publicly on GitHub. Queste query consentono di intraprendere rapidamente specifici scenari di ricerca delle minacce senza dover scrivere le query da zero.These queries let you quickly pursue specific threat hunting scenarios without having to write queries from scratch.

Immagine di query condivise

Salvare, modificare e condividere una querySave, modify, and share a query

È possibile salvare una query nuova o esistente in modo che sia solo accessibile all'utente o condivisa con altri utenti della propria organizzazione.You can save a new or existing query so that it is only accessible to you or shared with other users in your organization.

  1. Creare o modificare una query.Create or modify a query.

  2. Fare clic sul pulsante a discesa Salva query e selezionare Salva con nome.Click the Save query drop-down button and select Save as.

  3. Immettere un nome per la query.Enter a name for the query.

    Immagine del salvataggio di una query

  4. Selezionare la cartella in cui si vuole salvare la query.Select the folder where you'd like to save the query.

    • Query condivise: query condivise con tutti gli utenti dell'organizzazioneShared queries — shared to all users your organization
    • Query personali: query accessibili solo all'utenteMy queries — accessible only to you
  5. Selezionare Salva.Select Save.

Eliminare o rinominare una queryDelete or rename a query

  1. Fare clic con il pulsante destro del mouse su una query che si vuole rinominare o eliminare.Right-click on a query you want to rename or delete.

    Immagine dell'eliminazione di una query

  2. Selezionare Elimina per confermare l'eliminazione.Select Delete and confirm deletion. In alternativa, selezionare Rinomina e immettere un nuovo nome per la query.Or select Rename and provide a new name for the query.

Per generare un collegamento che apra la query direttamente nell'editor di query di ricerca avanzata, finalizzare la query e selezionare Condividi collegamento.To generate a link that opens your query directly in the advanced hunting query editor, finalize your query and select Share link.

Accedere alle query nel repository GitHubAccess queries in the GitHub repository

I ricercatori della sicurezza Microsoft condividono regolarmente query di ricerca avanzata in un repository pubblico designato in GitHub.Microsoft security researchers regularly share advanced hunting queries in a designated public repository on GitHub. È possibile collaborare a questo repository.This repository is open to contributions. Per collaborare, iscriversi a GitHub gratuitamente.To contribute, join GitHub for free.

Suggerimento

I ricercatori della sicurezza Microsoft forniscono anche query di ricerca avanzata che è possibile usare per trovare le attività e gli indicatori associati alle minacce emergenti.Microsoft security researchers also provide advanced hunting queries that you can use to locate activities and indicators associated with emerging threats. Queste query sono incluse nei report di analisi delle minacce nel Microsoft Defender Security Center.These queries are provided as part of the threat analytics reports in Microsoft Defender Security Center.