Proaktywne wyszukiwanie zagrożeń dzięki zaawansowanym polowaniom w Microsoft 365 Defender
Uwaga
Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.
Dotyczy:
- Microsoft 365 Defender
Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które umożliwia eksplorowanie nieprzetworzonych danych przez maksymalnie 30 dni. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych.
Możesz użyć tych samych zapytań wyszukiwania zagrożeń, aby utworzyć niestandardowe reguły wykrywania. Te reguły są uruchamiane automatycznie w celu sprawdzania, a następnie reagowania na podejrzenie naruszenia zabezpieczeń, nieprawidłowo skonfigurowane maszyny i inne ustalenia.
Ta funkcja jest podobna do zaawansowanego wyszukiwania zagrożeń w Ochrona punktu końcowego w usłudze Microsoft Defender i obsługuje zapytania, które sprawdzają szerszy zestaw danych z:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Ochrona usługi Office 365 w usłudze Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Aby użyć zaawansowanego wyszukiwania zagrożeń, włącz Microsoft 365 Defender.
Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń w Microsoft Defender for Cloud Apps danych, zobacz wideo.
Wprowadzenie z zaawansowanym wyszukiwaniem zagrożeń
Zalecamy wykonanie kilku kroków, aby szybko rozpocząć zaawansowane wyszukiwanie zagrożeń.
| cel Edukacja | Opis | Zasób |
|---|---|---|
| Nauka języka | Zaawansowane wyszukiwanie zagrożeń opiera się na języku zapytań Kusto obsługujących tę samą składnię i operatory. Rozpocznij naukę języka zapytań, uruchamiając pierwsze zapytanie. | Omówienie języka zapytań |
| Dowiedz się, jak używać wyników zapytania | Dowiedz się więcej o wykresach i różnych sposobach wyświetlania lub eksportowania wyników. Dowiedz się, jak szybko dostosować zapytania, przejść do szczegółów, aby uzyskać bogatsze informacje i podjąć akcje odpowiedzi. | - Praca z wynikami zapytania - Wykonywanie akcji w wynikach zapytania |
| Analiza schematu | Uzyskaj dobrą, ogólną wiedzę na temat tabel w schemacie i ich kolumnach. Dowiedz się, gdzie szukać danych podczas konstruowania zapytań. | - Dokumentacja schematu - Przejście z Ochrona punktu końcowego w usłudze Microsoft Defender |
| Uzyskiwanie porad i przykładów ekspertów | Trenowanie bezpłatnie za pomocą przewodników od ekspertów firmy Microsoft. Eksploruj kolekcje wstępnie zdefiniowanych zapytań obejmujących różne scenariusze wyszukiwania zagrożeń. | - Uzyskiwanie szkoleń ekspertów - Używanie zapytań udostępnionych - Go hunt - Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach |
| Optymalizowanie zapytań i obsługa błędów | Dowiedz się, jak tworzyć wydajne i wolne od błędów zapytania. | - Najlepsze rozwiązania dotyczące zapytań - Obsługa błędów |
| Tworzenie niestandardowych reguł wykrywania | Dowiedz się, jak za pomocą zaawansowanych zapytań wyszukiwania zagrożeń wyzwalać alerty i automatycznie podejmować akcje reagowania. | - Omówienie wykrywania niestandardowego - Niestandardowe reguły wykrywania |
Uzyskiwanie dostępu
Aby korzystać z zaawansowanych możliwości wyszukiwania zagrożeń lub innych Microsoft 365 Defender, potrzebna jest odpowiednia rola w Azure Active Directory. Przeczytaj o wymaganych rolach i uprawnieniach do zaawansowanego wyszukiwania zagrożeń.
Ponadto dostęp do danych punktu końcowego jest określany przez ustawienia kontroli dostępu opartej na rolach (RBAC) w Ochrona punktu końcowego w usłudze Microsoft Defender. Przeczytaj o zarządzaniu dostępem do Microsoft 365 Defender.
Częstotliwość odświeżenia i aktualizacji danych
Zaawansowane dane wyszukiwania zagrożeń można podzielić na dwa różne typy, z których każdy jest konsolidowany inaczej.
- Dane zdarzeń lub działań — wypełnia tabele dotyczące alertów, zdarzeń zabezpieczeń, zdarzeń systemowych i rutynowych ocen. Zaawansowane wyszukiwanie zagrożeń odbiera te dane niemal natychmiast po tym, jak czujniki, które je pomyślnie zbierają, przekazują je do odpowiednich usług w chmurze. Na przykład można wysyłać zapytania dotyczące danych zdarzeń z czujników w dobrej kondycji na stacjach roboczych lub kontrolerach domeny niemal natychmiast po ich udostępnieniu w Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender for Identity.
- Dane jednostki — wypełnia tabele informacjami o użytkownikach i urządzeniach. Te dane pochodzą zarówno ze względnie statycznych źródeł danych, jak i źródeł dynamicznych, takich jak wpisy usługi Active Directory i dzienniki zdarzeń. Aby zapewnić świeże dane, tabele są aktualizowane przy użyciu nowych informacji co 15 minut, dodając wiersze, które mogą nie być w pełni wypełnione. Co 24 godziny dane są konsolidowane w celu wstawiania rekordu zawierającego najnowszy, najbardziej kompleksowy zestaw danych o każdej jednostce.
Strefa czasowa
Informacje o czasie w zaawansowanym polowaniu znajdują się w strefie czasowej UTC.