Proaktywne wyszukiwanie zagrożeń dzięki zaawansowanym polowaniom w Microsoft 365 Defender

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender

Zaawansowane wyszukiwanie zagrożeń to oparte na zapytaniach narzędzie do wyszukiwania zagrożeń, które umożliwia eksplorowanie nieprzetworzonych danych przez maksymalnie 30 dni. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych.

Możesz użyć tych samych zapytań wyszukiwania zagrożeń, aby utworzyć niestandardowe reguły wykrywania. Te reguły są uruchamiane automatycznie w celu sprawdzania, a następnie reagowania na podejrzenie naruszenia zabezpieczeń, nieprawidłowo skonfigurowane maszyny i inne ustalenia.

Ta funkcja jest podobna do zaawansowanego wyszukiwania zagrożeń w Ochrona punktu końcowego w usłudze Microsoft Defender i obsługuje zapytania, które sprawdzają szerszy zestaw danych z:

  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Ochrona usługi Office 365 w usłudze Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Aby użyć zaawansowanego wyszukiwania zagrożeń, włącz Microsoft 365 Defender.

Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń w Microsoft Defender for Cloud Apps danych, zobacz wideo.

Wprowadzenie z zaawansowanym wyszukiwaniem zagrożeń

Zalecamy wykonanie kilku kroków, aby szybko rozpocząć zaawansowane wyszukiwanie zagrożeń.

cel Edukacja Opis Zasób
Nauka języka Zaawansowane wyszukiwanie zagrożeń opiera się na języku zapytań Kusto obsługujących tę samą składnię i operatory. Rozpocznij naukę języka zapytań, uruchamiając pierwsze zapytanie. Omówienie języka zapytań
Dowiedz się, jak używać wyników zapytania Dowiedz się więcej o wykresach i różnych sposobach wyświetlania lub eksportowania wyników. Dowiedz się, jak szybko dostosować zapytania, przejść do szczegółów, aby uzyskać bogatsze informacje i podjąć akcje odpowiedzi. - Praca z wynikami zapytania
- Wykonywanie akcji w wynikach zapytania
Analiza schematu Uzyskaj dobrą, ogólną wiedzę na temat tabel w schemacie i ich kolumnach. Dowiedz się, gdzie szukać danych podczas konstruowania zapytań. - Dokumentacja schematu
- Przejście z Ochrona punktu końcowego w usłudze Microsoft Defender
Uzyskiwanie porad i przykładów ekspertów Trenowanie bezpłatnie za pomocą przewodników od ekspertów firmy Microsoft. Eksploruj kolekcje wstępnie zdefiniowanych zapytań obejmujących różne scenariusze wyszukiwania zagrożeń. - Uzyskiwanie szkoleń ekspertów
- Używanie zapytań udostępnionych
- Go hunt
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
Optymalizowanie zapytań i obsługa błędów Dowiedz się, jak tworzyć wydajne i wolne od błędów zapytania. - Najlepsze rozwiązania dotyczące zapytań
- Obsługa błędów
Tworzenie niestandardowych reguł wykrywania Dowiedz się, jak za pomocą zaawansowanych zapytań wyszukiwania zagrożeń wyzwalać alerty i automatycznie podejmować akcje reagowania. - Omówienie wykrywania niestandardowego
- Niestandardowe reguły wykrywania

Uzyskiwanie dostępu

Aby korzystać z zaawansowanych możliwości wyszukiwania zagrożeń lub innych Microsoft 365 Defender, potrzebna jest odpowiednia rola w Azure Active Directory. Przeczytaj o wymaganych rolach i uprawnieniach do zaawansowanego wyszukiwania zagrożeń.

Ponadto dostęp do danych punktu końcowego jest określany przez ustawienia kontroli dostępu opartej na rolach (RBAC) w Ochrona punktu końcowego w usłudze Microsoft Defender. Przeczytaj o zarządzaniu dostępem do Microsoft 365 Defender.

Częstotliwość odświeżenia i aktualizacji danych

Zaawansowane dane wyszukiwania zagrożeń można podzielić na dwa różne typy, z których każdy jest konsolidowany inaczej.

  • Dane zdarzeń lub działań — wypełnia tabele dotyczące alertów, zdarzeń zabezpieczeń, zdarzeń systemowych i rutynowych ocen. Zaawansowane wyszukiwanie zagrożeń odbiera te dane niemal natychmiast po tym, jak czujniki, które je pomyślnie zbierają, przekazują je do odpowiednich usług w chmurze. Na przykład można wysyłać zapytania dotyczące danych zdarzeń z czujników w dobrej kondycji na stacjach roboczych lub kontrolerach domeny niemal natychmiast po ich udostępnieniu w Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender for Identity.
  • Dane jednostki — wypełnia tabele informacjami o użytkownikach i urządzeniach. Te dane pochodzą zarówno ze względnie statycznych źródeł danych, jak i źródeł dynamicznych, takich jak wpisy usługi Active Directory i dzienniki zdarzeń. Aby zapewnić świeże dane, tabele są aktualizowane przy użyciu nowych informacji co 15 minut, dodając wiersze, które mogą nie być w pełni wypełnione. Co 24 godziny dane są konsolidowane w celu wstawiania rekordu zawierającego najnowszy, najbardziej kompleksowy zestaw danych o każdej jednostce.

Strefa czasowa

Informacje o czasie w zaawansowanym polowaniu znajdują się w strefie czasowej UTC.