Kies tussen begeleide en geavanceerde modi om te zoeken in Microsoft Defender XDR
Van toepassing op:
- Microsoft Defender XDR
U kunt de pagina geavanceerde opsporing vinden door naar de linkernavigatiebalk in Microsoft Defender XDR te gaan en Jacht>Geavanceerd jagen te selecteren. Als de navigatiebalk is samengevouwen, selecteert u het 
.
Op de pagina geavanceerde opsporing worden twee modi ondersteund:
- Begeleide modus : query's uitvoeren met behulp van de opbouwfunctie voor query's
- Geavanceerde modus: query's uitvoeren met behulp van de query-editor met behulp van Kusto-querytaal (KQL)
Het belangrijkste verschil tussen de twee modi is dat de jager voor de begeleide modus geen KQL hoeft te kennen om een query uit te voeren op de database, terwijl de geavanceerde modus KQL-kennis vereist.
De begeleide modus bevat een opbouwfunctie voor query's met een gebruiksvriendelijke, visuele bouwsteenstijl voor het samenstellen van query's via vervolgkeuzelijsten met beschikbare filters en voorwaarden. Als u de begeleide modus wilt gebruiken, raadpleegt u Aan de slag met de modus voor begeleide opsporing.
De geavanceerde modus beschikt over een queryeditorgebied waar gebruikers volledig nieuwe query's kunnen maken. Zie Aan de slag met geavanceerde opsporingsmodus als u de geavanceerde modus wilt gebruiken.
Aan de slag met de begeleide opsporingsmodus
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Wanneer u de pagina geavanceerde opsporing voor het eerst opent nadat de begeleide opsporing voor u beschikbaar is gemaakt, kunt u de rondleiding volgen voor meer informatie over de verschillende onderdelen van de pagina, zoals de tabbladen en querygebieden.
Als u de rondleiding wilt volgen, selecteert u Rondleiding volgen wanneer deze banner wordt weergegeven:
Volg de blauwe lesballonnen die op de pagina worden weergegeven en selecteer Volgende om van de ene stap naar de volgende te gaan.
U kunt de rondleiding op elk gewenst moment opnieuw volgen door naar Help-resources>Meer informatie te gaan en De rondleiding volgen te selecteren.
Vervolgens kunt u beginnen met het bouwen van uw query om bedreigingen op te sporen. De volgende artikelen kunnen u helpen het meeste uit de jacht te halen in de begeleide modus:
| Leerdoel | Omschrijving | Resource |
|---|---|---|
| Uw eerste query maken | Leer de basisbeginselen van de opbouwfunctie voor query's, zoals het opgeven van het gegevensdomein en het toevoegen van voorwaarden en filters om u te helpen een zinvolle query te maken. Meer informatie door voorbeeldquery's uit te voeren. | Opsporingsquery's bouwen met behulp van de begeleide modus |
| Meer informatie over de verschillende mogelijkheden voor het maken van query's | Maak kennis met de verschillende ondersteunde gegevenstypen en mogelijkheden voor de begeleide modus om u te helpen uw query af te stemmen op basis van uw behoeften. | Uw query verfijnen in de begeleide modus |
| Meer informatie over wat u kunt doen met queryresultaten | Maak kennis met de weergave Resultaten en wat u kunt doen met gegenereerde resultaten, zoals hoe u actie kunt ondernemen of deze kunt koppelen aan een incident. | - Werken met queryresultaten in de begeleide modus - Actie ondernemen op queryresultaten - Queryresultaten koppelen aan een incident |
| aangepaste detectieregels Creatie | Begrijp hoe u geavanceerde opsporingsquery's kunt gebruiken om waarschuwingen te activeren en automatisch reactieacties uit te voeren. | - Overzicht van aangepaste detecties - Aangepaste detectieregels |
Aan de slag met de geavanceerde opsporingsmodus
We raden u aan deze stappen te doorlopen om snel aan de slag te gaan met geavanceerde opsporing:
| Leerdoel | Omschrijving | Resource |
|---|---|---|
| De taal leren | Geavanceerde opsporing is gebaseerd op kusto-querytaal, die dezelfde syntaxis en operators ondersteunt. Begin met het leren van de querytaal door uw eerste query uit te voeren. | Overzicht van querytaal |
| Meer informatie over het gebruik van de queryresultaten | Meer informatie over grafieken en verschillende manieren waarop u uw resultaten kunt bekijken of exporteren. Ontdek hoe u query's snel kunt aanpassen, inzoomen om uitgebreidere informatie te krijgen en reactieacties kunt uitvoeren. | - Werken met queryresultaten in de geavanceerde modus - Actie ondernemen op queryresultaten - Queryresultaten koppelen aan een incident |
| Meer informatie over het schema | Krijg een goed inzicht op hoog niveau in de tabellen in het schema en de bijbehorende kolommen. Meer informatie over waar u gegevens kunt zoeken bij het samenstellen van uw query's. | - Schemareferentie - Overgang van Microsoft Defender voor Eindpunt |
| Tips en voorbeelden van experts | Train gratis met handleidingen van Microsoft-experts. Verken verzamelingen met vooraf gedefinieerde query's voor verschillende scenario's voor het opsporen van bedreigingen. | - Krijg training voor experts - Gedeelde query's gebruiken - Ga op jacht - Bedreigingen opsporen op apparaten, e-mailberichten, apps en identiteiten |
| Query's optimaliseren en fouten verwerken | Inzicht in het maken van efficiƫnte en foutloze query's. | - Best practices voor query's - Fouten verwerken |
| aangepaste detectieregels Creatie | Begrijp hoe u geavanceerde opsporingsquery's kunt gebruiken om waarschuwingen te activeren en automatisch reactieacties uit te voeren. | - Overzicht van aangepaste detecties - Aangepaste detectieregels |
Zie ook
- Meer informatie over het schema
- Opsporingsquery's bouwen met behulp van de begeleide modus
- De querytaal leren
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor