Proactief op bedreigingen zoeken met geavanceerde Microsoft 365 DefenderProactively hunt for threats with advanced hunting in Microsoft 365 Defender

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing op:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Wilt u Microsoft 365 Defender ervaren?Want to experience Microsoft 365 Defender? U kunt het evalueren in een testomgeving of uw pilotproject uitvoeren in een productieomgeving.You can evaluate it in a lab environment or run your pilot project in production.

Geavanceerd zoeken is een op query's gebaseerd hulpprogramma voor bedreigingsjacht waarmee u tot 30 dagen onbewerkte gegevens kunt verkennen.Advanced hunting is a query-based threat-hunting tool that lets you explore up to 30 days of raw data. U kunt gebeurtenissen in uw netwerk proactief controleren om bedreigingsindicatoren en entiteiten te zoeken.You can proactively inspect events in your network to locate threat indicators and entities. De flexibele toegang tot gegevens maakt ongeconseld zoeken naar bekende en potentiële bedreigingen mogelijk.The flexible access to data enables unconstrained hunting for both known and potential threats.

U kunt dezelfde query's voor het zoeken naar bedreigingen gebruiken om aangepaste detectieregels te maken.You can use the same threat-hunting queries to build custom detection rules. Deze regels worden automatisch uitgevoerd om te controleren of en vervolgens te reageren op verdachte inbreukactiviteiten, verkeerd geconfigureerde machines en andere bevindingen.These rules run automatically to check for and then respond to suspected breach activity, misconfigured machines, and other findings.

Deze mogelijkheid is vergelijkbaar met geavanceerde jacht in Microsoft Defender voor eindpunt.This capability is similar to advanced hunting in Microsoft Defender for Endpoint. Deze Microsoft 365 beschikbaar in het beveiligingscentrum en ondersteunt query's die een bredere gegevensset controleren op basis van:Available in Microsoft 365 security center, this capability supports queries that check a broader data set from:

  • Microsoft Defender voor EindpuntMicrosoft Defender for Endpoint
  • Microsoft Defender voor Office 365Microsoft Defender for Office 365
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Defender for IdentityMicrosoft Defender for Identity

Als u geavanceerde jacht wilt gebruiken, zet u Microsoft 365 Defenderin.To use advanced hunting, turn on Microsoft 365 Defender.

Aan de slag met geavanceerde jachtGet started with advanced hunting

Het is raadzaam om verschillende stappen uit te voeren om snel aan de slag te gaan met geavanceerde jacht.We recommend going through several steps to quickly get started with advanced hunting.

LeerdoelLearning goal BeschrijvingDescription ResourceResource
De taal lerenLearn the language Geavanceerd zoeken is gebaseerd op de querytaal Kusto,die dezelfde syntaxis en operatoren ondersteunt.Advanced hunting is based on Kusto query language, supporting the same syntax and operators. Begin de querytaal te leren door de eerste query uit te voeren.Start learning the query language by running your first query. Overzicht van querytaalQuery language overview
Meer informatie over het gebruik van de queryresultatenLearn how to use the query results Meer informatie over grafieken en verschillende manieren waarop u uw resultaten kunt bekijken of exporteren.Learn about charts and various ways you can view or export your results. Ontdek hoe u snel query's kunt aanpassen, kunt inzoomen om uitgebreidere informatie te krijgen en antwoordacties kunt uitvoeren.Explore how you can quickly tweak queries, drill down to get richer information, and take response actions. - Werken met queryresultaten- Work with query results
- Actie ondernemen voor queryresultaten- Take action on query results
Meer informatie over het schemaUnderstand the schema Krijg een goed, goed inzicht in de tabellen in het schema en de kolommen.Get a good, high-level understanding of the tables in the schema and their columns. Informatie over waar u gegevens kunt zoeken bij het maken van query's.Learn where to look for data when constructing your queries. - Schemaverwijzing- Schema reference
- Overgang van Microsoft Defender voor Eindpunt- Transition from Microsoft Defender for Endpoint
Tips en voorbeelden van experts krijgenGet expert tips and examples Train gratis met handleidingen van Microsoft-experts.Train for free with guides from Microsoft experts. Verken verzamelingen van vooraf gedefinieerde query's met verschillende scenario's voor het zoeken naar bedreigingen.Explore collections of predefined queries covering different threat hunting scenarios. - Training van experts krijgen- Get expert training
- Gedeelde query's gebruiken- Use shared queries
- Ga op zoek- Go hunt
- Op bedreigingen zoeken op verschillende apparaten, e-mailberichten, apps en identiteiten- Hunt for threats across devices, emails, apps, and identities
Query's optimaliseren en fouten verwerkenOptimize queries and handle errors Meer informatie over het maken van efficiënte en foutloze query's.Understand how to create efficient and error-free queries. - Query-best practices- Query best practices
- Fouten verwerken- Handle errors
Aangepaste detectieregels makenCreate custom detection rules Meer informatie over hoe u geavanceerde zoekquery's kunt gebruiken om waarschuwingen te activeren en automatisch antwoordacties uit te voeren.Understand how you can use advanced hunting queries to trigger alerts and take response actions automatically. - Overzicht van aangepaste detecties- Custom detections overview
- Aangepaste detectieregels- Custom detection rules

Toegang krijgenGet access

Als u geavanceerde jacht- of andere Microsoft 365 Defender-mogelijkheden wilt gebruiken, hebt u een passende rol nodig in Azure Active Directory.To use advanced hunting or other Microsoft 365 Defender capabilities, you need an appropriate role in Azure Active Directory. Lees meer over vereiste rollen en machtigingen voor geavanceerde jacht.Read about required roles and permissions for advanced hunting.

Uw toegang tot eindpuntgegevens wordt ook bepaald door RBAC-instellingen (Role-Based Access Control) in Microsoft Defender for Endpoint.Also, your access to endpoint data is determined by role-based access control (RBAC) settings in Microsoft Defender for Endpoint. Lees meer over het beheren van toegang tot Microsoft 365 Defender.Read about managing access to Microsoft 365 Defender.

Gegevensverfheid en updatefrequentieData freshness and update frequency

Geavanceerde zoekgegevens kunnen worden gecategoriseerd in twee verschillende typen, elk op een andere manier samengevoegd.Advanced hunting data can be categorized into two distinct types, each consolidated differently.

  • Gebeurtenis- of activiteitsgegevens: vult tabellen over waarschuwingen, beveiligingsgebeurtenissen, systeemgebeurtenissen en routinebeoordelingen.Event or activity data—populates tables about alerts, security events, system events, and routine assessments. Advanced hunting ontvangt deze gegevens vrijwel direct nadat de sensoren die ze verzamelen deze met succes naar de bijbehorende cloudservices verzenden.Advanced hunting receives this data almost immediately after the sensors that collect them successfully transmit them to the corresponding cloud services. U kunt bijvoorbeeld gebeurtenisgegevens opvragen van gezonde sensoren op werkstations of domeincontrollers, vrijwel direct nadat ze beschikbaar zijn op Microsoft Defender voor Eindpunt en Microsoft Defender voor identiteit.For example, you can query event data from healthy sensors on workstations or domain controllers almost immediately after they are available on Microsoft Defender for Endpoint and Microsoft Defender for Identity.
  • Entiteitsgegevens: vult tabellen met informatie over gebruikers en apparaten.Entity data—populates tables with information about users and devices. Deze gegevens komen uit zowel relatief statische gegevensbronnen als dynamische bronnen, zoals Active Directory-items en gebeurtenislogboeken.This data comes from both relatively static data sources and dynamic sources, such as Active Directory entries and event logs. Als u nieuwe gegevens wilt verstrekken, worden tabellen elke 15 minuten bijgewerkt met nieuwe informatie, zodat rijen worden toegevoegd die mogelijk niet volledig zijn ingevuld.To provide fresh data, tables are updated with any new information every 15 minutes, adding rows that might not be fully populated. Elke 24 uur worden gegevens samengevoegd om een record in te voegen die de meest recente, meest uitgebreide gegevensset over elke entiteit bevat.Every 24 hours, data is consolidated to insert a record that contains the latest, most comprehensive data set about each entity.

TijdzoneTime zone

Tijdinformatie in geavanceerde jacht bevindt zich in de UTC-tijdzone.Time information in advanced hunting is in the UTC time zone.