Активная охота на угрозы с расширенным поиском в Microsoft 365 DefenderProactively hunt for threats with advanced hunting in Microsoft 365 Defender

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Хотите попробовать Microsoft 365 Defender?Want to experience Microsoft 365 Defender? Вы можете оценить его в лабораторной среде или запустить пилотный проект в производственной среде.You can evaluate it in a lab environment or run your pilot project in production.

Расширенное выслеживание— это средство для выслеживания угроз на основе запросов, которое позволяет изучать необработанные данные за период до 30 дней.Advanced hunting is a query-based threat-hunting tool that lets you explore up to 30 days of raw data. Вы можете упреждающий осмотр событий в сети, чтобы найти индикаторы и объекты угрозы.You can proactively inspect events in your network to locate threat indicators and entities. Гибкий доступ к данным позволяет безудержно искать как известные, так и потенциальные угрозы.The flexible access to data enables unconstrained hunting for both known and potential threats.

Вы можете использовать одни и те же запросы на поиск угроз для создания пользовательских правил обнаружения.You can use the same threat-hunting queries to build custom detection rules. Эти правила запускаются автоматически для проверки и реагирования на предполагаемые нарушения, неправильного устройства и других выводов.These rules run automatically to check for and then respond to suspected breach activity, misconfigured machines, and other findings.

Эта возможность аналогична продвинутой охоте в Microsoft Defender для конечной точки.This capability is similar to advanced hunting in Microsoft Defender for Endpoint. Эта Microsoft 365 поддерживает запросы, которые проверяют более широкий набор данных из:Available in Microsoft 365 security center, this capability supports queries that check a broader data set from:

  • Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint
  • Microsoft Defender для Office 365Microsoft Defender for Office 365
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Defender для удостоверенийMicrosoft Defender for Identity

Чтобы использовать передовую охоту, включи Microsoft 365 Defender.To use advanced hunting, turn on Microsoft 365 Defender.

Начало работы с расширенным выслеживаниемGet started with advanced hunting

Мы рекомендуем пройти несколько этапов, чтобы быстро начать работу с расширенным поиском.We recommend going through several steps to quickly get started with advanced hunting.

Цель обученияLearning goal ОписаниеDescription РесурсResource
Выучат языкLearn the language Advanced hunting is based on Kusto query language,supporting the same syntax and operators.Advanced hunting is based on Kusto query language, supporting the same syntax and operators. Начать изучение языка запросов можно, выполнив свой первый запрос.Start learning the query language by running your first query. Сведения о языке запросовQuery language overview
Узнайте, как использовать результаты запросаLearn how to use the query results Узнайте о диаграммах и различных способах просмотра или экспорта результатов.Learn about charts and various ways you can view or export your results. Узнайте, как быстро настроить запросы, разверлить, чтобы получить более подробную информацию, и принять меры реагирования.Explore how you can quickly tweak queries, drill down to get richer information, and take response actions. - Работа с результатами запроса- Work with query results
- Действие по результатам запроса- Take action on query results
Сведения о схемеUnderstand the schema Формирование четкого и глубокого представления о таблицах схемы и входящих в них столбцах.Get a good, high-level understanding of the tables in the schema and their columns. Узнайте, где искать данные при построении запросов.Learn where to look for data when constructing your queries. - Ссылка на схему- Schema reference
- Переход от Microsoft Defender для конечной точки- Transition from Microsoft Defender for Endpoint
Получить советы и примеры экспертовGet expert tips and examples Обучение бесплатно с помощью руководств от экспертов Майкрософт.Train for free with guides from Microsoft experts. Возможен поиск в коллекции предварительно настроенных запросов для использования при разных сценариев выслеживания угроз.Explore collections of predefined queries covering different threat hunting scenarios. - Обучение экспертов- Get expert training
- Использование общих запросов- Use shared queries
- Go hunt- Go hunt
- Поиск угроз на устройствах, электронной почте, приложениях и удостоверениях- Hunt for threats across devices, emails, apps, and identities
Оптимизация запросов и обработка ошибокOptimize queries and handle errors Понять, как создавать эффективные и без ошибок запросы.Understand how to create efficient and error-free queries. - Наилучшие методы запроса- Query best practices
- Обработка ошибок- Handle errors
Создание настраиваемой системы обнаруженияCreate custom detection rules Понимание того, как можно использовать расширенные запросы на охоту для запуска оповещений и автоматически принимать ответные действия.Understand how you can use advanced hunting queries to trigger alerts and take response actions automatically. - Пользовательский обзор обнаружения- Custom detections overview
- Настраиваемые правила обнаружения- Custom detection rules

Получить доступGet access

Чтобы использовать расширенные возможности Microsoft 365 Defender, вам потребуется соответствующая роль в Azure Active Directory.To use advanced hunting or other Microsoft 365 Defender capabilities, you need an appropriate role in Azure Active Directory. Ознакомьтесь с требуемой ролью и разрешениями для предварительной охоты.Read about required roles and permissions for advanced hunting.

Кроме того, доступ к данным конечной точки определяется настройками управления доступом на основе ролей (RBAC) в Microsoft Defender for Endpoint.Also, your access to endpoint data is determined by role-based access control (RBAC) settings in Microsoft Defender for Endpoint. Узнайте об управлении доступом к Microsoft 365 Defender.Read about managing access to Microsoft 365 Defender.

Свежесть данных и частота обновленияData freshness and update frequency

Расширенные данные охоты можно классифицируется на два различных типа, каждый из которых консолидируется по-разному.Advanced hunting data can be categorized into two distinct types, each consolidated differently.

  • Данные событий или действий заполняют таблицы оповещений, событий безопасности, системных событий и обычных оценок.Event or activity data—populates tables about alerts, security events, system events, and routine assessments. Расширенный поиск получает эти данные практически сразу после того, как собранные ими датчики успешно передают их в соответствующие облачные службы.Advanced hunting receives this data almost immediately after the sensors that collect them successfully transmit them to the corresponding cloud services. Например, вы можете запрашивать данные о событиях с здоровых датчиков на рабочих станциях или контроллерах домена почти сразу после того, как они будут доступны в Microsoft Defender for Endpoint и Microsoft Defender for Identity.For example, you can query event data from healthy sensors on workstations or domain controllers almost immediately after they are available on Microsoft Defender for Endpoint and Microsoft Defender for Identity.
  • Данные Entity заполняют таблицы сведениями о пользователях и устройствах.Entity data—populates tables with information about users and devices. Эти данные приходят как из относительно статических источников данных, так и из динамических источников, таких как записи Active Directory и журналы событий.This data comes from both relatively static data sources and dynamic sources, such as Active Directory entries and event logs. Чтобы предоставить свежие данные, таблицы обновляются каждые 15 минут, добавляя строки, которые могут быть заполнены не полностью.To provide fresh data, tables are updated with any new information every 15 minutes, adding rows that might not be fully populated. Каждые 24 часа данные консолидированы, чтобы вставить запись, содержающую последний, наиболее полный набор данных о каждом объекте.Every 24 hours, data is consolidated to insert a record that contains the latest, most comprehensive data set about each entity.

Часовой поясTime zone

Сведения о времени в продвинутой охоте в часовом поясе UTC.Time information in advanced hunting is in the UTC time zone.