Proaktiv sökning efter hot med avancerad sökning

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Avancerad jakt är ett frågebaserat verktyg för jakt på cyberhot som låter dig utforska upp till 30 dagars rådata. Du kan proaktivt kontrollera händelser i nätverket för att hitta hotindikatorer och enheter. Den flexibla åtkomsten till data gör att du inte behöver hålla efter både kända och potentiella hot.

Titta på den här videon för en snabb överblick över avancerad sökning och en kort självstudiekurs som hjälper dig att komma igång snabbt.

Du kan använda samma hotsökningsfrågor för att skapa anpassade identifieringsregler. Dessa regler körs automatiskt för att kontrollera och sedan svara på misstänkt intrång, felkonfigurerade datorer och andra resultat.

Tips

Använd avancerad sökning i Microsoft 365 Defender för att leta efter hot med hjälp av data från Defender för Slutpunkt, Microsoft Defender för Office 365, Microsoft Defender för molnappar och Microsoft Defender för identitet. Aktivera Microsoft 365 Defender.

Läs mer om hur du flyttar dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.

Komma igång med avancerad sökning

Gå igenom följande steg för att öka din avancerade kunskaper om sökning.

Vi rekommenderar att du går igenom flera olika steg för att snabbt komma igång med avancerad sökning.



Learning mål Beskrivning Resurs
Lär dig språket Avancerad sökning baseras på Kusto-frågespråk somhar stöd för samma syntax och operatorer. Börja lära dig frågespråket genom att köra den första frågan. Översikt över frågespråk
Lär dig hur du använder frågeresultatet Läs mer om diagram och olika sätt att visa eller exportera resultaten. Se hur du snabbt kan justera frågorna och öka detaljen för att få bättre information. Arbeta med frågeresultat
Förstå schemat Få en bra förståelse på hög nivå för tabellerna i schemat och deras kolumner. Lär dig var du letar efter data när du skapar dina frågor. Schemareferens
Använda fördefinierade frågor Utforska samlingar av fördefinierade frågor som täcker olika scenarier för hot efter hot. Delade frågor
Optimera frågor och hantera fel Förstå hur du skapar effektiva och felfria frågor. Metodtips för frågor

Hantera fel

Få fullständig täckning Använd granskningsinställningarna för att ge din organisation bättre datatäckning. Utöka den avancerade söktäckningen
Gör en snabb undersökning Kör snabbt en avancerad fråga för sökning för att undersöka misstänkt aktivitet. Snabbt jaga efter entitets- eller händelseinformation med go-hunt
Innehåller hot och adresskomprometter Svara på attacker genom att kvartilering av filer, begränsa körning av appar och andra åtgärder Vidta åtgärder för avancerade frågeresultat för sökning
Skapa anpassade identifieringsregler Förstå hur du kan använda avancerade sökfrågor för att utlösa aviseringar och vidta svarsåtgärder automatiskt. Översikt över anpassade identifieringar

Anpassade regler för identifiering

Datauppdatering och uppdateringsfrekvens

Avancerade sökdata kan kategoriseras i två distinkta typer, som var och en konsolideras på olika sätt.

  • Händelse- eller aktivitetsdata: Fyller i tabeller om aviseringar, säkerhetshändelser, systemhändelser och rutinutvärderingar. Avancerad sökning tar emot dessa data nästan omedelbart efter att sensorn som samlar in dem överför dem till Defender för Endpoint.
  • Entitetsdata: Fyller i tabeller med konsoliderad information om användare och enheter. Dessa data kommer från både relativt statiska datakällor och dynamiska källor, till exempel Active Directory-poster och händelseloggar. För att ge nya data uppdateras tabeller med ny information var 15:e minut, vilket innebär att rader som kanske inte är helt ifyllda läggs till. Varje dygn konsolideras data för att infoga en post som innehåller den senaste och mest omfattande datauppsättningen om varje entitet.

Tidszon

Tidsinformation för avancerad sökning finns för närvarande i UTC-tidszonen.