Aktywne wyszukiwanie zagrożeń za pomocą zaawansowanego wyszukiwania
Dotyczy:
Chcesz mieć dostęp do usługi Defender dla punktu końcowego? Zarejestruj się, aby korzystać z bezpłatnej wersji próbnej.
Zaawansowane szukanie to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które pozwala eksplorować nawet 30 dni nieprzetworzone dane. Możesz proaktywnie przeprowadzać inspekcje zdarzeń w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia niewyszkolone czasy, w których są poszukiwane zarówno znane, jak i potencjalne zagrożenia.
Obejrzyj ten klip wideo, aby szybko rozpocząć pracę, a także obejrzyj krótki samouczek, który pomoże Ci szybko rozpocząć pracę.
Za pomocą tych samych zapytań wyszukiwania zagrożeń możesz tworzyć niestandardowe reguły wykrywania. Reguły te są uruchamiane automatycznie w celu sprawdzenia, czy są wykrywane i reagować na podejrzewane naruszenie, błędnie skonfigurowane komputery i inne ustalenia.
Porada
Użyj zaawansowanego wyszukiwania w Microsoft 365 Defender, aby poszukać zagrożeń za pomocą danych z usługi Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender dla aplikacji w chmurze i Microsoft Defender for Identity. Włącz Microsoft 365 Defender.
Aby dowiedzieć się więcej na temat przenoszenia zaawansowanych przepływów pracy wyszukiwania z programu Microsoft Defender for Endpoint do Microsoft 365 Defender zobacz Migrowanie zaawansowanych zapytań myśliwnych z programu Microsoft Defender dla punktu końcowego.
Początek zaawansowanego chłoniania
Aby rozszerz swoją zaawansowaną wiedzę na temat wyszukiwania, przejdź przez poniższe kroki.
Zalecamy skorzystanie z kilku kroków, aby szybko rozpocząć łętwtwo zaawansowane.
| Edukacja celu | Opis | Zasób |
|---|---|---|
| Nauka języka | Zaawansowane wyszukiwanie jest oparte na języku zapytań Kusto, które obsługuje tę samą składnię i operatory. Rozpocznij naukę języka zapytań, uruchamiając pierwsze zapytanie. | Omówienie języka zapytań |
| Dowiedz się, jak używać wyników zapytania | Informacje o wykresach i różnych sposobach wyświetlania i eksportowania wyników. Poznaj sposób szybkiego poprawiania zapytań i przechodzenia do szczegółów w celu uzyskania bardziej rozbudowanych informacji. | Praca z wynikami zapytania |
| Opis schematu | Uzyskaj dobry, wysoki poziom zrozumienia tabel w schemacie i ich kolumn. Dowiedz się, gdzie szukać danych podczas konstruowania zapytań. | Informacje o schemacie |
| Używanie wstępnie zdefiniowanych zapytań | Eksplorowanie zbiorów wstępnie zdefiniowanych zapytań dotyczących różnych scenariuszy wyszukiwania zagrożeń. | Zapytania udostępnione |
| Optymalizowanie zapytań i obsługa błędów | Dowiedz się, jak tworzyć wydajne i wolne od błędów zapytania. | Najlepsze rozwiązania dotyczące zapytań |
| Uzyskiwanie najpełniejszego zakresu | Użyj ustawień inspekcji, aby zapewnić lepszy zakres danych dla organizacji. | Rozszerzanie zaawansowanego zakresu wyszukiwania |
| Uruchamianie szybkiego badania | Szybko uruchom zaawansowane zapytanie wyszukiwania w celu zbadania podejrzanych działań. | Szybkie poszukiwania informacji o encji lub zdarzeniach za pomocą ponagowego poszukiwania |
| Zawieraj zagrożenia i wyeksymilij naruszenia | Reagowanie na ataki ze względu na nieoczekiwane pliki, ograniczanie wykonywania aplikacji i innych akcji | Weź udział w zaawansowanych wyszukiwaniach wyników kwerendy |
| Tworzenie reguł wykrywania niestandardowego | Dowiedz się, jak możesz używać zaawansowanych zapytań myśliwnych w celu wyzwalania alertów i automatycznego reagowania. | Wykrywanie niestandardowe — omówienie |
Data freshness and update frequency
Zaawansowane dane wyszukiwania można podzielić na dwie osobne typy, z których każda skonsolidowana jest w inny sposób.
- Dane zdarzeń lub aktywności: Wypełnia tabele dotyczące alertów, zdarzeń zabezpieczeń, zdarzeń systemu i rutynowych testów. Szukanie zaawansowane otrzymuje te dane niemal natychmiast po czujniku, który je zbiera, aby pomyślnie przesłać je do usługi Defender for Endpoint.
- Dane encja: Wypełnia tabele skonsolidowanymi informacjami o użytkownikach i urządzeniach. Te dane pochodzą zarówno ze względnie statycznych źródeł danych, jak i źródeł dynamicznych, takich jak wpisy usługi Active Directory i dzienniki zdarzeń. Aby udostępnić nowe dane, tabele są aktualizowane tak, aby co 15 minut zawierały nowe informacje, co dodaje wiersze, które mogą nie być w pełni wypełnione. Konsolidowane są dane co 24 godziny w celu wstawienia rekordu zawierającego najnowszy i najbardziej kompleksowy zestaw danych dotyczących każdej jednostki.
Strefa czasowa
Informacje o czasie podczas zaawansowanego wyszukiwania są obecnie w strefie czasowej UTC.