使用高級搜尋主動搜尋威脅

適用於:

想要體驗 Defender for Endpoint? 注册免費試用版。

進階搜捕是一種查詢式威脅搜捕工具,可讓您探索最多 30 天的原始資料。 您可以主動檢查您網路中的事件,以找出威脅指示器和實體。 對資料的靈活存取可對已知和潛在的威脅進行無限制的搜尋。

觀賞這段影片,快速流覽高級搜尋,以及可讓您快速入門的簡短教學課程。

您可以使用相同的威脅搜尋查詢來建立自訂的偵測規則。 這些規則會自動執行,以檢查是否有可疑的破壞活動、錯誤設定的機器及其他發現的回應。

提示

使用Microsoft 365 Defender 中的高級搜尋來尋找威脅,使用來自 Defender for Endpoint 的資料,microsoft defender 用於 Office 365、Microsoft Cloud App Security 和 Microsoft defender 身分識別。 開啟 Microsoft 365 Defender

深入瞭解如何將您的高級搜尋工作流程從 microsoft defender for endpoint 移至 Microsoft 365 Defender 以從 microsoft defender for endpoint 遷移高級搜尋查詢

開始使用進階搜捕

請逐步執行下列步驟,以提升您的高級搜尋知識。

建議您透過數個步驟來利用進階搜捕快速啟動並執行。



學習目標 描述 資源
瞭解語言 「高級搜尋」是以 Kusto 查詢語言為基礎,支援相同的語法及運算子。 執行您的第一個查詢來開始學習查詢語言。 查詢語言概觀
瞭解如何使用查詢結果 深入瞭解圖表和您可以查看或匯出結果的各種方式。 探索如何快速調整查詢,並深入瞭解如何取得更豐富的資訊。 使用查詢結果工作
了解結構描述 深入了解結構描述中的資料表和資料行。 瞭解在建立查詢時要尋找資料的位置。 結構描述參考
使用預先定義的查詢 探索涵蓋不同威脅搜捕案例的預先定義查詢集合。 共用查詢
優化查詢並處理錯誤 瞭解如何建立高效且無錯誤的查詢。 - 查詢最佳作法
- 處理錯誤
取得最完整的覆蓋範圍 使用 [審核設定] 為您的組織提供更佳的資料覆蓋率。 - 延伸高級搜尋範圍
執行快速調查 快速執行高級搜尋查詢,以調查可疑活動。 - 使用 go 搜尋 快速尋找實體或事件資訊
包含威脅和位址受到威脅 隔離檔、限制應用程式執行及其他動作以回應攻擊 - 對高級搜尋查詢結果採取動作
建立自訂偵測規則 瞭解您可以如何使用高級搜尋查詢來觸發提醒並自動採取回應動作。 - 自訂偵測簡介
- 自訂偵測規則

資料新鮮度和更新頻率

「高級搜尋」資料可以分類成兩種不同的類型,每個不同的合併。

  • 事件或活動資料:會填入有關警示、安全性事件、系統事件及例行評估的表格。 「高級搜尋」幾乎會在收集成功的感應器成功傳輸至端點後立即接收這類資料。
  • 實體資料:以使用者和裝置的整合式資訊來填入表格。 此資料來自相對靜態資料來源和動態來源,例如 Active Directory 專案和事件記錄。 若要提供全新的資料,每隔15分鐘更新一次所有新資訊的資料表,新增可能不會填滿的資料列。 每24小時都會合並資料,以插入記錄,其中包含每個實體的最新、最全面的資料集。

時區

高級搜尋中的時間資訊目前在 UTC 時區內。