Microsoft Defender XDR'da gelişmiş avcılık ile tehditleri proaktif olarak avlama
Şunlar için geçerlidir:
- Microsoft Defender XDR
Gelişmiş avcılık, 30 güne kadar ham verileri keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar.
Gelişmiş avcılık, destekli ve gelişmiş iki modu destekler. Kusto Sorgu Dili (KQL) hakkında henüz bilgi sahibi değilseniz veya sorgu oluşturucunun rahatlığını tercih ediyorsanız destekli modu kullanın. Sıfırdan sorgu oluşturmak için KQL'yi rahatça kullanıyorsanız gelişmiş modu kullanın.
Avlanmaya başlamak için Microsoft Defender XDR'da avlanmak için kılavuzlu ve gelişmiş modlar arasında seçim yapma bölümünü okuyun.
Özel algılama kuralları oluşturmak için aynı tehdit avcılığı sorgularını kullanabilirsiniz. Bu kurallar, şüpheli ihlal etkinliğini, yanlış yapılandırılmış makineleri ve diğer bulguları denetlemek ve yanıtlamak için otomatik olarak çalıştırılır.
Gelişmiş tehdit avcılığı, aşağıdakilerden gelen daha geniş bir veri kümesini denetleen sorguları destekler:
- Uç Nokta için Microsoft Defender
- Office 365 için Microsoft Defender
- Bulut Uygulamaları için Microsoft Defender
- Kimlik için Microsoft Defender
Gelişmiş avcılığı kullanmak için Microsoft Defender XDR açın.
Microsoft Defender for Cloud Apps verilerde gelişmiş avcılık hakkında daha fazla bilgi için videoya bakın.
Erişim alma
Gelişmiş avcılık veya diğer Microsoft Defender XDR özelliklerini kullanmak için Microsoft Entra ID uygun bir role sahip olmanız gerekir. Gelişmiş avcılık için gerekli roller ve izinler hakkında bilgi edinin.
Ayrıca, uç nokta verilerine erişiminiz Uç Nokta için Microsoft Defender rol tabanlı erişim denetimi (RBAC) ayarları tarafından belirlenir. Microsoft Defender XDR erişimini yönetme hakkında bilgi edinin.
Veri güncelliği ve güncelleştirme sıklığı
Gelişmiş tehdit avcılığı verileri, her biri farklı bir şekilde birleştirilmiş iki ayrı türe kategorilere ayırılabilir.
- Olay veya etkinlik verileri; uyarılar, güvenlik olayları, sistem olayları ve rutin değerlendirmeler hakkındaki tabloları doldurur. Gelişmiş avcılık, bu verileri toplayan algılayıcılar tarafından ilgili bulut hizmetlerine başarıyla iletildikten hemen sonra alır. Örneğin, iş istasyonlarındaki veya etki alanı denetleyicilerindeki iyi durumdaki algılayıcılardan gelen olay verilerini, Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender kullanıma sunulduktan hemen sonra sorgulayabilirsiniz.
- Varlık verileri; tabloları kullanıcılar ve cihazlar hakkındaki bilgilerle doldurur. Bu veriler hem görece statik veri kaynaklarından hem de Active Directory girişleri ve olay günlükleri gibi dinamik kaynaklardan gelir. Yeni veriler sağlamak için, tablolar her 15 dakikada bir yeni bilgilerle güncelleştirilir ve tam olarak doldurulmayabilecek satırlar eklenir. Her 24 saatte bir veriler birleştirerek her varlıkla ilgili en son ve en kapsamlı veri kümesini içeren bir kayıt eklenir.
Saat dilimi
Sorgular
Gelişmiş tehdit avcılığı verileri UTC (Evrensel Saat Eşgüdümlü) saat dilimini kullanır.
Sorgular UTC'de oluşturulmalıdır.
Sonuç -ları
Gelişmiş avlanma sonuçları, Microsoft Defender XDR'da ayarlanan saat dilimine dönüştürülür.
İlgili konular
- Kılavuzlu ve gelişmiş avcılık modları arasında seçim yapma
- Kılavuzlu modu kullanarak tehdit avcılığı sorguları oluşturma
- Sorgu dilini öğrenin
- Şemayı anlayın
- Microsoft Graph güvenlik API'si
- Özel algılamalara genel bakış
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin