Aktywne wyszukiwanie zagrożeń za pomocą zaawansowanego wyszukiwania

Dotyczy:

Chcesz mieć dostęp do usługi Defender dla punktu końcowego? Zarejestruj się, aby korzystać z bezpłatnej wersji próbnej.

Zaawansowane szukanie to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które pozwala eksplorować nawet 30 dni nieprzetworzone dane. Możesz proaktywnie przeprowadzać inspekcje zdarzeń w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia niewyszkolone czasy, w których są poszukiwane zarówno znane, jak i potencjalne zagrożenia.

Obejrzyj ten klip wideo, aby szybko rozpocząć pracę, a także obejrzyj krótki samouczek, który pomoże Ci szybko rozpocząć pracę.

Za pomocą tych samych zapytań wyszukiwania zagrożeń możesz tworzyć niestandardowe reguły wykrywania. Reguły te są uruchamiane automatycznie w celu sprawdzenia, czy są wykrywane i reagować na podejrzewane naruszenie, błędnie skonfigurowane komputery i inne ustalenia.

Porada

Użyj zaawansowanego wyszukiwania w Microsoft 365 Defender, aby poszukać zagrożeń za pomocą danych z usługi Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender dla aplikacji w chmurze i Microsoft Defender for Identity. Włącz Microsoft 365 Defender.

Aby dowiedzieć się więcej na temat przenoszenia zaawansowanych przepływów pracy wyszukiwania z programu Microsoft Defender for Endpoint do Microsoft 365 Defender zobacz Migrowanie zaawansowanych zapytań myśliwnych z programu Microsoft Defender dla punktu końcowego.

Początek zaawansowanego chłoniania

Aby rozszerz swoją zaawansowaną wiedzę na temat wyszukiwania, przejdź przez poniższe kroki.

Zalecamy skorzystanie z kilku kroków, aby szybko rozpocząć łętwtwo zaawansowane.



Edukacja celu Opis Zasób
Nauka języka Zaawansowane wyszukiwanie jest oparte na języku zapytań Kusto, które obsługuje tę samą składnię i operatory. Rozpocznij naukę języka zapytań, uruchamiając pierwsze zapytanie. Omówienie języka zapytań
Dowiedz się, jak używać wyników zapytania Informacje o wykresach i różnych sposobach wyświetlania i eksportowania wyników. Poznaj sposób szybkiego poprawiania zapytań i przechodzenia do szczegółów w celu uzyskania bardziej rozbudowanych informacji. Praca z wynikami zapytania
Opis schematu Uzyskaj dobry, wysoki poziom zrozumienia tabel w schemacie i ich kolumn. Dowiedz się, gdzie szukać danych podczas konstruowania zapytań. Informacje o schemacie
Używanie wstępnie zdefiniowanych zapytań Eksplorowanie zbiorów wstępnie zdefiniowanych zapytań dotyczących różnych scenariuszy wyszukiwania zagrożeń. Zapytania udostępnione
Optymalizowanie zapytań i obsługa błędów Dowiedz się, jak tworzyć wydajne i wolne od błędów zapytania. Najlepsze rozwiązania dotyczące zapytań

Obsługa błędów

Uzyskiwanie najpełniejszego zakresu Użyj ustawień inspekcji, aby zapewnić lepszy zakres danych dla organizacji. Rozszerzanie zaawansowanego zakresu wyszukiwania
Uruchamianie szybkiego badania Szybko uruchom zaawansowane zapytanie wyszukiwania w celu zbadania podejrzanych działań. Szybkie poszukiwania informacji o encji lub zdarzeniach za pomocą ponagowego poszukiwania
Zawieraj zagrożenia i wyeksymilij naruszenia Reagowanie na ataki ze względu na nieoczekiwane pliki, ograniczanie wykonywania aplikacji i innych akcji Weź udział w zaawansowanych wyszukiwaniach wyników kwerendy
Tworzenie reguł wykrywania niestandardowego Dowiedz się, jak możesz używać zaawansowanych zapytań myśliwnych w celu wyzwalania alertów i automatycznego reagowania. Wykrywanie niestandardowe — omówienie

Niestandardowe reguły wykrywania

Data freshness and update frequency

Zaawansowane dane wyszukiwania można podzielić na dwie osobne typy, z których każda skonsolidowana jest w inny sposób.

  • Dane zdarzeń lub aktywności: Wypełnia tabele dotyczące alertów, zdarzeń zabezpieczeń, zdarzeń systemu i rutynowych testów. Szukanie zaawansowane otrzymuje te dane niemal natychmiast po czujniku, który je zbiera, aby pomyślnie przesłać je do usługi Defender for Endpoint.
  • Dane encja: Wypełnia tabele skonsolidowanymi informacjami o użytkownikach i urządzeniach. Te dane pochodzą zarówno ze względnie statycznych źródeł danych, jak i źródeł dynamicznych, takich jak wpisy usługi Active Directory i dzienniki zdarzeń. Aby udostępnić nowe dane, tabele są aktualizowane tak, aby co 15 minut zawierały nowe informacje, co dodaje wiersze, które mogą nie być w pełni wypełnione. Konsolidowane są dane co 24 godziny w celu wstawienia rekordu zawierającego najnowszy i najbardziej kompleksowy zestaw danych dotyczących każdej jednostki.

Strefa czasowa

Informacje o czasie podczas zaawansowanego wyszukiwania są obecnie w strefie czasowej UTC.