Używanie zapytań udostępnionych w zaawansowanym wyszukiwaniu zagrożeń

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Zaawansowane zapytania dotyczące wyszukiwania zagrożeń mogą być udostępniane użytkownikom w tej samej organizacji. Możesz również zapisywać zapytania, które są dostępne tylko dla Ciebie. Możesz również znaleźć zapytania społeczności, które są udostępniane publicznie na GitHub. Te zapisane zapytania umożliwiają szybkie realizowanie konkretnych scenariuszy wyszukiwania zagrożeń bez konieczności pisania zapytań od podstaw.

Na karcie Zapytania w zaawansowanym wyszukiwaniu można znaleźć menu rozwijane dla zapytań udostępnionych, Moje zapytania i Community zapytań. Możesz wybrać strzałkę skierowaną w dół, aby rozwinąć menu.

Zapytania udostępnione, Moje zapytania i zapytania Community w portalu Microsoft 365 Defender

Zapisywanie, modyfikowanie i udostępnianie zapytania

Możesz zapisać nowe lub istniejące zapytanie, aby było dostępne tylko dla Ciebie lub udostępnione innym użytkownikom w organizacji.

  1. Utwórz lub zmodyfikuj zapytanie.

  2. Kliknij przycisk listy rozwijanej Zapisz zapytanie i wybierz pozycję Zapisz jako.

  3. Wprowadź nazwę zapytania.

    Nowe zapytanie, które ma zostać zapisane w portalu Microsoft 365 Defender

  4. Wybierz folder, w którym chcesz zapisać zapytanie.

    • Zapytania udostępnione — udostępnione wszystkim użytkownikom w organizacji
    • Moje zapytania — dostępne tylko dla Ciebie
  5. Wybierz Zapisz.

Usuwanie lub zmienianie nazwy zapytania

  1. Wybierz trzy kropki po prawej stronie zapytania, które chcesz zmienić lub usunąć.

    Zmienianie nazwy lub usuwanie zapytania na stronie Zaawansowane wyszukiwanie zagrożeń w portalu Microsoft 365 Defender

  2. Wybierz pozycję Usuń i potwierdź usunięcie. Możesz też wybrać pozycję Zmień nazwę i podaj nową nazwę zapytania.

Aby wygenerować link, który otwiera zapytanie bezpośrednio w edytorze zaawansowanych zapytań wyszukiwania zagrożeń, sfinalizuj zapytanie i wybierz pozycję Udostępnij link.

Uzyskiwanie dostępu do zapytań społeczności w repozytorium GitHub

Badacze zabezpieczeń firmy Microsoft regularnie udostępniają zaawansowane zapytania dotyczące wyszukiwania zagrożeń w wyznaczonym repozytorium publicznym na GitHub. Udziały w tym repozytorium są przeglądane przed opublikowaniem. Aby współtworzyć, dołącz do GitHub bezpłatnie.

Te zapytania można łatwo znaleźć również w menu rozwijanym Community zapytań.

Community zapytań uporządkowanych według folderów w portalu Microsoft 365 Defender

Community zapytania są pogrupowane w foldery, takie jak Kampanie, Zbieranie, Unikanie obrony i tym podobne. Dalsze informacje na temat zapytania są udostępniane jako komentarze w wierszu w samym zapytaniu.

Porada

Badacze zabezpieczeń firmy Microsoft udostępniają również zaawansowane zapytania dotyczące zagrożeń, których można użyć do lokalizowania działań i wskaźników związanych z pojawiającym się zagrożeniami. Te zapytania są udostępniane w ramach raportów analizy zagrożeń w Microsoft 365 Defender.