Proaktiv sökning efter hot med avancerad sökning i Microsoft 365 Defender

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Vill du uppleva Microsoft 365 Defender? Du kan utvärdera det i en laboratoriemiljö eller köra ett pilotprojekt i produktionen.

Avancerad sökning är ett frågebaserat sökverktyg som gör att du kan utforska upp till 30 dagars rådata. Du kan proaktivt kontrollera händelser i nätverket för att hitta hotindikatorer och enheter. Den flexibla åtkomsten till data gör att du inte behöver hålla efter både kända och potentiella hot.

Du kan använda samma sökfrågor för hot för att skapa anpassade identifieringsregler. Dessa regler körs automatiskt för att kontrollera och sedan svara på misstänkt intrång, felkonfigurerade datorer och andra resultat.

Den här funktionen liknar avancerad sökning i Microsoft Defender för Endpoint och stöder frågor som kontrollerar en bredare datauppsättning från:

  • Microsoft Defender för Endpoint
  • Microsoft Defender för Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Om du vill använda avancerad sökning aktiverar du Microsoft 365 Defender.

Mer information om avancerad sökning i Microsoft Defender för data i Cloud Apps finns i videon.

Komma igång med avancerad sökning

Vi rekommenderar att du går igenom flera steg för att snabbt komma igång med avancerad sökning.

Learning målet Beskrivning Resurs
Lär dig språket Avancerad sökning baseras på Kusto-frågespråk somhar stöd för samma syntax och operatorer. Börja lära dig frågespråket genom att köra den första frågan. Översikt över frågespråk
Lär dig hur du använder frågeresultatet Läs mer om diagram och olika sätt att visa eller exportera resultaten. Se hur du snabbt kan justera frågorna, öka detaljinformationen och vidta svarsåtgärder. - Arbeta med frågeresultat
- Vidta åtgärder för frågeresultat
Förstå schemat Få en bra förståelse på hög nivå för tabellerna i schemat och deras kolumner. Lär dig var du letar efter data när du skapar dina frågor. - Schemareferens
- Övergång från Microsoft Defender för Slutpunkt
Få experttips och exempel Utbilda dig kostnadsfritt med guider från Microsofts experter. Utforska samlingar av fördefinierade frågor som täcker olika scenarier för hot efter hot. - Få expertutbildning
- Använda delade frågor
- Gå och leta
- Jaga hot på enheter, e-postmeddelanden, appar och identiteter
Optimera frågor och hantera fel Förstå hur du skapar effektiva och felfria frågor. - Metodtips för frågor
- Hantera fel
Skapa anpassade identifieringsregler Förstå hur du kan använda avancerade sökfrågor för att utlösa aviseringar och vidta svarsåtgärder automatiskt. - Översikt över anpassade identifieringar
- Anpassade identifieringsregler

Få åtkomst

Om du vill använda avancerad Microsoft 365 Defender eller andra sökfunktioner måste du ha rätt Azure Active Directory. Här kan du läsa om de roller och behörigheter som krävs för avancerad sökning.

Åtkomsten till slutpunktsdata avgörs också av rollbaserad åtkomstkontroll (RBAC) i Microsoft Defender för Slutpunkt. Läs mer om hur du hanterar åtkomst till Microsoft 365 Defender.

Datauppdatering och uppdateringsfrekvens

Avancerade sökdata kan kategoriseras i två distinkta typer, som var och en konsolideras på olika sätt.

  • Händelse- eller aktivitetsdata– fyller i tabeller om aviseringar, säkerhetshändelser, systemhändelser och rutinmässiga utvärderingar. Avancerad sökning tar emot dessa data nästan omedelbart efter att de signaler som samlar in dem överför dem till motsvarande molntjänster. Du kan till exempel fråga händelsedata från hälsosamma sensorer på arbetsstationer eller domänkontrollanter nästan omedelbart efter att de är tillgängliga på Microsoft Defender för Endpoint och Microsoft Defender för identitet.
  • Entitetsdata– fyller i tabeller med information om användare och enheter. Dessa data kommer från både relativt statiska datakällor och dynamiska källor, till exempel Active Directory-poster och händelseloggar. För att ge nya data uppdateras tabeller med ny information var 15:e minut, vilket innebär att rader som kanske inte är helt ifyllda läggs till. Varje dygn konsolideras data för att infoga en post som innehåller den senaste och mest omfattande datauppsättningen om varje entitet.

Tidszon

Tidsinformation för avancerad sökning finns i UTC-tidszonen.