Использование общих запросов в расширенной охотеUse shared queries in advanced hunting

Важно!

Доступен улучшенный Центр безопасности Microsoft 365.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint

Запросами расширенной охоты можно делиться с пользователями одной организации.Advanced hunting queries can be shared among users in the same organization. Вы также можете найти общедоступные запросы в GitHub.You can also find queries shared publicly on GitHub. Эти запросы позволяют быстро реализовывать сценарии охоты на угрозы, не создавая запросы с нуля.These queries let you quickly pursue specific threat hunting scenarios without having to write queries from scratch.

Изображение общих запросов

Сохранение и изменение запроса и предоставление к нему общего доступаSave, modify, and share a query

Вы можете сохранить новый или существующий запрос, чтобы он был доступен только вам, или поделиться им с пользователями своей организации.You can save a new or existing query so that it is only accessible to you or shared with other users in your organization.

  1. Создание или изменение запросаCreate or modify a query.

  2. Нажмите разворачивающуюся кнопку Сохранить запрос и выберите параметр Сохранить как.Click the Save query drop-down button and select Save as.

  3. Введите имя запроса.Enter a name for the query.

    Изображение сохранения запроса

  4. Выберите папку, в которую нужно сохранить запрос.Select the folder where you'd like to save the query.

    • Общие запросы — общие для всех пользователей вашей организацииShared queries — shared to all users your organization
    • Мои запросы — доступны только для васMy queries — accessible only to you
  5. Нажмите кнопку Сохранить.Select Save.

Удаление или переименование запросаDelete or rename a query

  1. Щелкните правой кнопкой мыши запрос, который нужно переименовать или удалить.Right-click on a query you want to rename or delete.

    Изображение удаления запроса

  2. Нажмите кнопку Удалить и подтвердите удаление.Select Delete and confirm deletion. Или нажмите кнопку Переименовать и введите новое имя запроса.Or select Rename and provide a new name for the query.

Чтобы создать ссылку, открываемую запрос непосредственно в редакторе предварительного запроса охоты, завершите запрос и выберите ссылку Share.To generate a link that opens your query directly in the advanced hunting query editor, finalize your query and select Share link.

Доступ к запросам в репозитории GitHubAccess queries in the GitHub repository

Исследователи безопасности Майкрософт часто делятся запросами расширенной охоты в специальном общедоступном репозитории в GitHub.Microsoft security researchers regularly share advanced hunting queries in a designated public repository on GitHub. Этот репозиторий открыт для участия.This repository is open to contributions. Чтобы внести свой вклад, бесплатно присоединяйтесь к GitHub.To contribute, join GitHub for free.

Совет

Исследователи безопасности Майкрософт также предоставляют запросы расширенной охоты, которые можно использовать для обнаружения действий и индикаторов, связанных с возникающими угрозами.Microsoft security researchers also provide advanced hunting queries that you can use to locate activities and indicators associated with emerging threats. Эти запросы предоставляются в рамках отчетов аналитики угроз в Центре безопасности в Microsoft Defender.These queries are provided as part of the threat analytics reports in Microsoft Defender Security Center.

Примечание

Некоторые таблицы в этой статье могут быть недоступны в Microsoft Defender для конечной точки.Some tables in this article might not be available in Microsoft Defender for Endpoint. Включи Microsoft 365 Defender для охоты на угрозы с помощью дополнительных источников данных.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Вы можете переместить расширенные процессы охоты из Microsoft Defender для конечной точки в Microsoft 365 Defender, следуя шагам в миграции расширенных запросов охоты из Microsoft Defender для конечнойточки .You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.