Активная охота на угрозы с расширенным поискомProactively hunt for threats with advanced hunting

Область применения:Applies to:

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Расширенное выслеживание— это средство для выслеживания угроз на основе запросов, которое позволяет изучать необработанные данные за период до 30 дней.Advanced hunting is a query-based threat-hunting tool that lets you explore up to 30 days of raw data. Вы можете упреждающий осмотр событий в сети, чтобы найти индикаторы и объекты угрозы.You can proactively inspect events in your network to locate threat indicators and entities. Гибкий доступ к данным позволяет безудержно искать как известные, так и потенциальные угрозы.The flexible access to data enables unconstrained hunting for both known and potential threats.

Просмотрите это видео, чтобы получить краткий обзор продвинутой охоты и краткий учебник, который поможет вам быстро начать работу.Watch this video for a quick overview of advanced hunting and a short tutorial that will get you started fast.

Вы можете использовать одни и те же запросы на поиск угроз для создания пользовательских правил обнаружения.You can use the same threat-hunting queries to build custom detection rules. Эти правила запускаются автоматически для проверки и реагирования на предполагаемые нарушения, неправильного устройства и других выводов.These rules run automatically to check for and then respond to suspected breach activity, misconfigured machines, and other findings.

Совет

Используйте расширенный поиск в Microsoft 365 Defender для охоты на угрозы с помощью данных defender for Endpoint, Microsoft Defender для Office 365, Microsoft Cloud App Security и Microsoft Defender for Identity.Use advanced hunting in Microsoft 365 Defender to hunt for threats using data from Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity. Включи Microsoft 365 Defender.Turn on Microsoft 365 Defender.

Узнайте больше о том, как переместить расширенные процессы охоты из Microsoft Defender для конечной точки в Microsoft 365 Defender в миграции расширенных запросов охоты из Microsoft Defender для конечной точки.Learn more about how to move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender in Migrate advanced hunting queries from Microsoft Defender for Endpoint.

Начало работы с расширенным выслеживаниемGet started with advanced hunting

Пройдите следующие действия, чтобы увеличить ваши расширенные знания по охоте.Go through the following steps to ramp up your advanced hunting knowledge.

Чтобы быстро приступить к работе с расширенным выслеживанием и освоиться с ним, нужно выполнить несколько действий.We recommend going through several steps to quickly get up and running with advanced hunting.

Цель обученияLearning goal ОписаниеDescription РесурсResource
Выучат языкLearn the language Advanced hunting is based on Kusto query language,supporting the same syntax and operators.Advanced hunting is based on Kusto query language, supporting the same syntax and operators. Начать изучение языка запросов можно, выполнив свой первый запрос.Start learning the query language by running your first query. Сведения о языке запросовQuery language overview
Узнайте, как использовать результаты запросаLearn how to use the query results Узнайте о диаграммах и различных способах просмотра или экспорта результатов.Learn about charts and various ways you can view or export your results. Узнайте, как быстро настроить запросы и сверлить, чтобы получить более подробную информацию.Explore how you can quickly tweak queries and drill down to get richer information. Работа с результатами запросовWork with query results
Сведения о схемеUnderstand the schema Формирование четкого и глубокого представления о таблицах схемы и входящих в них столбцах.Get a good, high-level understanding of the tables in the schema and their columns. Узнайте, где искать данные при построении запросов.Learn where to look for data when constructing your queries. Справочник по схемеSchema reference
Использование предварительно настроенных запросовUse predefined queries Возможен поиск в коллекции предварительно настроенных запросов для использования при разных сценариев выслеживания угроз.Explore collections of predefined queries covering different threat hunting scenarios. Общие запросыShared queries
Оптимизация запросов и обработка ошибокOptimize queries and handle errors Понять, как создавать эффективные и без ошибок запросы.Understand how to create efficient and error-free queries. - Наилучшие методы запроса- Query best practices
- Обработка ошибок- Handle errors
Получите наиболее полное покрытиеGet the most complete coverage Используйте параметры аудита, чтобы обеспечить более широкое освещение данных для организации.Use audit settings to provide better data coverage for your organization. - Расширение расширенного охвата охоты- Extend advanced hunting coverage
Запустите быстрое расследованиеRun a quick investigation Быстро запустите расширенный запрос на охоту, чтобы исследовать подозрительные действия.Quickly run an advanced hunting query to investigate suspicious activity. - Быстрая охота за сведениями о сущности или событиях с помощью go hunt- Quickly hunt for entity or event information with go hunt
Сдерживание угроз и устранение компромиссовContain threats and address compromises Реагирование на атаки с помощью карантинового файла, ограничения выполнения приложений и других действийRespond to attacks by quarantining files, restricting app execution, and other actions - Принять меры по расширенным результатам запроса на охоту- Take action on advanced hunting query results
Создание настраиваемой системы обнаруженияCreate custom detection rules Понимание того, как можно использовать расширенные запросы на охоту для запуска оповещений и автоматически принимать ответные действия.Understand how you can use advanced hunting queries to trigger alerts and take response actions automatically. - Пользовательский обзор обнаружения- Custom detections overview
- Настраиваемые правила обнаружения- Custom detection rules

Свежесть данных и частота обновленияData freshness and update frequency

Расширенные данные охоты можно классифицируется на два различных типа, каждый из которых консолидируется по-разному.Advanced hunting data can be categorized into two distinct types, each consolidated differently.

  • Данные событий или действий заполняют таблицы оповещений, событий безопасности, системных событий и обычных оценок.Event or activity data—populates tables about alerts, security events, system events, and routine assessments. Расширенный поиск получает эти данные практически сразу после того, как датчики, которые их собирают, успешно передают их в Defender для конечной точки.Advanced hunting receives this data almost immediately after the sensors that collect them successfully transmit them to Defender for Endpoint.
  • Данные сущности заполняют таблицы консолидированной информацией о пользователях и устройствах.Entity data—populates tables with consolidated information about users and devices. Эти данные приходят как из относительно статических источников данных, так и из динамических источников, таких как записи Active Directory и журналы событий.This data comes from both relatively static data sources and dynamic sources, such as Active Directory entries and event logs. Чтобы предоставить свежие данные, таблицы обновляются каждые 15 минут, добавляя строки, которые могут быть заполнены не полностью.To provide fresh data, tables are updated with any new information every 15 minutes, adding rows that might not be fully populated. Каждые 24 часа данные консолидированы, чтобы вставить запись, содержающую последний, наиболее полный набор данных о каждом объекте.Every 24 hours, data is consolidated to insert a record that contains the latest, most comprehensive data set about each entity.

Часовой поясTime zone

Сведения о времени в продвинутой охоте в настоящее время находятся в часовом поясе UTC.Time information in advanced hunting is currently in the UTC time zone.