Proaktiv sökning efter hot med avancerad sökning i Microsoft 365 DefenderProactively hunt for threats with advanced hunting in Microsoft 365 Defender

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Vill du uppleva Microsoft 365 Defender?Want to experience Microsoft 365 Defender? Du kan utvärdera det i en laboratoriemiljö eller köra ett pilotprojekt i produktionen.You can evaluate it in a lab environment or run your pilot project in production.

Avancerad sökning är ett frågebaserat verktyg för hothot där du kan utforska upp till 30 dagars rådata.Advanced hunting is a query-based threat-hunting tool that lets you explore up to 30 days of raw data. Du kan proaktivt kontrollera händelser i nätverket för att hitta hotindikatorer och enheter.You can proactively inspect events in your network to locate threat indicators and entities. Den flexibla åtkomsten till data gör att du inte behöver hålla efter både kända och potentiella hot.The flexible access to data enables unconstrained hunting for both known and potential threats.

Du kan använda samma hotsökningsfrågor för att skapa anpassade identifieringsregler.You can use the same threat-hunting queries to build custom detection rules. Dessa regler körs automatiskt för att kontrollera och sedan svara på misstänkt intrång, felkonfigurerade datorer och andra resultat.These rules run automatically to check for and then respond to suspected breach activity, misconfigured machines, and other findings.

Den här funktionen liknar avancerad sökning i Microsoft Defender för Slutpunkt.This capability is similar to advanced hunting in Microsoft Defender for Endpoint. Den här funktionen Microsoft 365 tillgänglig i säkerhetscentret och stöder frågor som kontrollerar en bredare datauppsättning från:Available in Microsoft 365 security center, this capability supports queries that check a broader data set from:

  • Microsoft Defender för EndpointMicrosoft Defender for Endpoint
  • Microsoft Defender för Office 365Microsoft Defender for Office 365
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Defender for IdentityMicrosoft Defender for Identity

Om du vill använda avancerad sökning aktiverar du Microsoft 365 Defender.To use advanced hunting, turn on Microsoft 365 Defender.

Komma igång med avancerad sökningGet started with advanced hunting

Vi rekommenderar att du går igenom flera steg för att snabbt komma igång med avancerad sökning.We recommend going through several steps to quickly get started with advanced hunting.

UtbildningsmålLearning goal BeskrivningDescription ResursResource
Lär dig språketLearn the language Avancerad sökning baseras på Kusto-frågespråk somhar stöd för samma syntax och operatorer.Advanced hunting is based on Kusto query language, supporting the same syntax and operators. Börja lära dig frågespråket genom att köra den första frågan.Start learning the query language by running your first query. Översikt över frågespråkQuery language overview
Lär dig hur du använder frågeresultatetLearn how to use the query results Läs mer om diagram och olika sätt att visa eller exportera resultaten.Learn about charts and various ways you can view or export your results. Se hur du snabbt kan justera frågorna, öka detaljinformationen och vidta svarsåtgärder.Explore how you can quickly tweak queries, drill down to get richer information, and take response actions. - Arbeta med frågeresultat- Work with query results
- Vidta åtgärder för frågeresultat- Take action on query results
Förstå schematUnderstand the schema Få en bra förståelse på hög nivå för tabellerna i schemat och deras kolumner.Get a good, high-level understanding of the tables in the schema and their columns. Lär dig var du letar efter data när du skapar dina frågor.Learn where to look for data when constructing your queries. - Schemareferens- Schema reference
- Övergång från Microsoft Defender för Slutpunkt- Transition from Microsoft Defender for Endpoint
Få experttips och exempelGet expert tips and examples Utbilda dig kostnadsfritt med guider från Microsofts experter.Train for free with guides from Microsoft experts. Utforska samlingar av fördefinierade frågor som täcker olika scenarier för hot efter hot.Explore collections of predefined queries covering different threat hunting scenarios. - Få expertutbildning- Get expert training
- Använda delade frågor- Use shared queries
- Gå och leta- Go hunt
- Jaga hot på enheter, e-postmeddelanden, appar och identiteter- Hunt for threats across devices, emails, apps, and identities
Optimera frågor och hantera felOptimize queries and handle errors Förstå hur du skapar effektiva och felfria frågor.Understand how to create efficient and error-free queries. - Metodtips för frågor- Query best practices
- Hantera fel- Handle errors
Skapa anpassade identifieringsreglerCreate custom detection rules Förstå hur du kan använda avancerade sökfrågor för att utlösa aviseringar och vidta svarsåtgärder automatiskt.Understand how you can use advanced hunting queries to trigger alerts and take response actions automatically. - Översikt över anpassade identifieringar- Custom detections overview
- Anpassade identifieringsregler- Custom detection rules

Få åtkomstGet access

Om du vill använda avancerad Microsoft 365 eller andra sökfunktioner för Defender måste du ha rätt roll i Azure Active Directory.To use advanced hunting or other Microsoft 365 Defender capabilities, you need an appropriate role in Azure Active Directory. Här kan du läsa om de roller och behörigheter som krävs för avancerad sökning.Read about required roles and permissions for advanced hunting.

Åtkomsten till slutpunktsdata avgörs också av rollbaserad åtkomstkontroll (RBAC) i Microsoft Defender för Slutpunkt.Also, your access to endpoint data is determined by role-based access control (RBAC) settings in Microsoft Defender for Endpoint. Läs mer om hur du hanterar åtkomst Microsoft 365 Defender.Read about managing access to Microsoft 365 Defender.

Datauppdatering och uppdateringsfrekvensData freshness and update frequency

Avancerade sökdata kan kategoriseras i två distinkta typer, som var och en konsolideras på olika sätt.Advanced hunting data can be categorized into two distinct types, each consolidated differently.

  • Händelse- eller aktivitetsdata– fyller i tabeller om aviseringar, säkerhetshändelser, systemhändelser och rutinmässiga utvärderingar.Event or activity data—populates tables about alerts, security events, system events, and routine assessments. Avancerad sökning tar emot dessa data nästan omedelbart efter att de signaler som samlar in dem överför dem till motsvarande molntjänster.Advanced hunting receives this data almost immediately after the sensors that collect them successfully transmit them to the corresponding cloud services. Du kan till exempel fråga händelsedata från hälsosamma sensorer på arbetsstationer eller domänkontrollanter nästan omedelbart efter att de är tillgängliga på Microsoft Defender för Endpoint och Microsoft Defender för identitet.For example, you can query event data from healthy sensors on workstations or domain controllers almost immediately after they are available on Microsoft Defender for Endpoint and Microsoft Defender for Identity.
  • Entitetsdata– fyller i tabeller med information om användare och enheter.Entity data—populates tables with information about users and devices. Dessa data kommer från både relativt statiska datakällor och dynamiska källor, till exempel Active Directory-poster och händelseloggar.This data comes from both relatively static data sources and dynamic sources, such as Active Directory entries and event logs. För att ge nya data uppdateras tabeller med ny information var 15:e minut, vilket innebär att rader som kanske inte är helt ifyllda läggs till.To provide fresh data, tables are updated with any new information every 15 minutes, adding rows that might not be fully populated. Varje dygn konsolideras data för att infoga en post som innehåller den senaste och mest omfattande datauppsättningen om varje entitet.Every 24 hours, data is consolidated to insert a record that contains the latest, most comprehensive data set about each entity.

TidszonTime zone

Tidsinformation för avancerad sökning finns i UTC-tidszonen.Time information in advanced hunting is in the UTC time zone.