Proaktiv sökning efter hot med avancerad sökningProactively hunt for threats with advanced hunting

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Avancerad sökning är ett frågebaserat verktyg för hothot där du kan utforska upp till 30 dagars rådata.Advanced hunting is a query-based threat-hunting tool that lets you explore up to 30 days of raw data. Du kan proaktivt kontrollera händelser i nätverket för att hitta hotindikatorer och enheter.You can proactively inspect events in your network to locate threat indicators and entities. Den flexibla åtkomsten till data gör att du inte behöver hålla efter både kända och potentiella hot.The flexible access to data enables unconstrained hunting for both known and potential threats.

I den här videon får du en snabb överblick över avancerad sökning och en kort självstudiekurs som hjälper dig att komma igång snabbt.Watch this video for a quick overview of advanced hunting and a short tutorial that will get you started fast.

Du kan använda samma hotsökningsfrågor för att skapa anpassade identifieringsregler.You can use the same threat-hunting queries to build custom detection rules. Dessa regler körs automatiskt för att kontrollera och sedan svara på misstänkt intrång, felkonfigurerade datorer och andra resultat.These rules run automatically to check for and then respond to suspected breach activity, misconfigured machines, and other findings.

Tips

Använd avancerad sökning i Microsoft 365 Defender för att leta efter hot med hjälp av data från Defender för Slutpunkt, Microsoft Defender för Office 365, Microsoft Cloud App Security och Microsoft Defender för identitet.Use advanced hunting in Microsoft 365 Defender to hunt for threats using data from Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity. Aktivera Microsoft 365 Defender.Turn on Microsoft 365 Defender.

Läs mer om hur du flyttar dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender i Migrera avancerade sökfrågor från Microsoft Defender för slutpunkt.Learn more about how to move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender in Migrate advanced hunting queries from Microsoft Defender for Endpoint.

Komma igång med avancerad sökningGet started with advanced hunting

Gå igenom följande steg för att öka din avancerade kunskaper om sökning.Go through the following steps to ramp up your advanced hunting knowledge.

Vi rekommenderar att du går igenom flera olika steg för att snabbt komma igång med avancerad sökning.We recommend going through several steps to quickly get up and running with advanced hunting.

UtbildningsmålLearning goal BeskrivningDescription ResursResource
Lär dig språketLearn the language Avancerad sökning baseras på Kusto-frågespråk somhar stöd för samma syntax och operatorer.Advanced hunting is based on Kusto query language, supporting the same syntax and operators. Börja lära dig frågespråket genom att köra den första frågan.Start learning the query language by running your first query. Översikt över frågespråkQuery language overview
Lär dig hur du använder frågeresultatetLearn how to use the query results Läs mer om diagram och olika sätt att visa eller exportera resultaten.Learn about charts and various ways you can view or export your results. Se hur du snabbt kan justera frågorna och öka detaljinformationen.Explore how you can quickly tweak queries and drill down to get richer information. Arbeta med frågeresultatWork with query results
Förstå schematUnderstand the schema Få en bra förståelse på hög nivå för tabellerna i schemat och deras kolumner.Get a good, high-level understanding of the tables in the schema and their columns. Lär dig var du letar efter data när du skapar dina frågor.Learn where to look for data when constructing your queries. SchemareferensSchema reference
Använda fördefinierade frågorUse predefined queries Utforska samlingar av fördefinierade frågor som täcker olika scenarier för hot efter hot.Explore collections of predefined queries covering different threat hunting scenarios. Delade frågorShared queries
Optimera frågor och hantera felOptimize queries and handle errors Förstå hur du skapar effektiva och felfria frågor.Understand how to create efficient and error-free queries. - Metodtips för frågor- Query best practices
- Hantera fel- Handle errors
Få fullständig täckningGet the most complete coverage Använd granskningsinställningarna för att ge din organisation bättre datatäckning.Use audit settings to provide better data coverage for your organization. - Utöka den avancerade söktäckningen- Extend advanced hunting coverage
Gör en snabb undersökningRun a quick investigation Kör snabbt en avancerad fråga för sökning för att undersöka misstänkt aktivitet.Quickly run an advanced hunting query to investigate suspicious activity. - Snabbt jaga efter entitets- eller händelseinformation med go-hunt- Quickly hunt for entity or event information with go hunt
Innehåller hot och adresskomprometterContain threats and address compromises Svara på attacker genom att kvartilering av filer, begränsa körning av appar och andra åtgärderRespond to attacks by quarantining files, restricting app execution, and other actions - Vidta åtgärder för avancerade frågeresultat för sökning- Take action on advanced hunting query results
Skapa anpassade identifieringsreglerCreate custom detection rules Förstå hur du kan använda avancerade sökfrågor för att utlösa aviseringar och vidta svarsåtgärder automatiskt.Understand how you can use advanced hunting queries to trigger alerts and take response actions automatically. - Översikt över anpassade identifieringar- Custom detections overview
- Anpassade identifieringsregler- Custom detection rules

Datauppdatering och uppdateringsfrekvensData freshness and update frequency

Avancerade sökdata kan kategoriseras i två distinkta typer, som var och en konsolideras på olika sätt.Advanced hunting data can be categorized into two distinct types, each consolidated differently.

  • Händelse- eller aktivitetsdata– fyller i tabeller om aviseringar, säkerhetshändelser, systemhändelser och rutinmässiga utvärderingar.Event or activity data—populates tables about alerts, security events, system events, and routine assessments. Avancerad sökning tar emot dessa data nästan omedelbart efter att de signaler som samlar in dem överför dem till Defender för Endpoint.Advanced hunting receives this data almost immediately after the sensors that collect them successfully transmit them to Defender for Endpoint.
  • Entitetsdata– fyller i tabeller med konsoliderad information om användare och enheter.Entity data—populates tables with consolidated information about users and devices. Dessa data kommer från både relativt statiska datakällor och dynamiska källor, till exempel Active Directory-poster och händelseloggar.This data comes from both relatively static data sources and dynamic sources, such as Active Directory entries and event logs. För att ge nya data uppdateras tabeller med ny information var 15:e minut, vilket innebär att rader som kanske inte är helt ifyllda läggs till.To provide fresh data, tables are updated with any new information every 15 minutes, adding rows that might not be fully populated. Varje dygn konsolideras data för att infoga en post som innehåller den senaste och mest omfattande datauppsättningen om varje entitet.Every 24 hours, data is consolidated to insert a record that contains the latest, most comprehensive data set about each entity.

TidszonTime zone

Tidsinformation för avancerad sökning finns för närvarande i UTC-tidszonen.Time information in advanced hunting is currently in the UTC time zone.