在進階搜捕中使用共用查詢

重要

改良的 Microsoft 365 安全性中心現在可用。 這個新的體驗會將適用於端點的 Defender、適用於 Office 365 的 Defender、Microsoft 365 Defender 和更多功能帶到 Microsoft 365 安全性中心。 了解新功能

適用於:

  • Microsoft 365 Defender
  • 適用於端點的 Microsoft Defender

您可以在同一個組織的多位使用者之間共用進階搜捕查詢。 您也可以在 GitHub 尋找公開的查詢。 這些查詢可讓您快速地執行特定威脅搜捕案例,而不需要從頭開始撰寫查詢。

共用查詢的影像。

儲存、修改及共用查詢

您可以儲存新的或現有的查詢,以便只有組織中的其他使用者能存取或共用。

  1. 建立或修改查詢。

  2. 按一下 [儲存查詢] 下拉式按鈕,然後選取 [另存新檔]。

  3. 輸入查詢的名稱。

    儲存查詢的圖像。

  4. 選取您要儲存查詢的資料夾。

    • 共用的查詢 — 與組織的所有使用者共用
    • 我的查詢 —只有您可以存取
  5. 選取 [儲存]。

刪除或重新命名查詢

  1. 以滑鼠右鍵按一下您要重新命名或刪除的查詢。

    刪除查詢的影像。

  2. 選取 [刪除] 並確認刪除。 或選取 [重新命名],並為查詢提供新名稱。

若要產生連結,以直接在高級搜尋查詢編輯器中開啟查詢,請完成查詢並選取 [ 共用] 連結

存取 GitHub 儲存庫中的查詢

Microsoft 安全研究人員會定期在 GitHub 上的指定公開儲存庫中共用進階搜捕查詢。 這個儲存庫開放個人提出貢獻。 若要貢獻,請免費加入 GitHub

提示

Microsoft 安全研究人員也會提供進階搜捕查詢,您可以用來尋找與新興威脅相關聯的活動和指標。 這些查詢是由 Microsoft Defender 安全性中心中的威脅分析報告提供。

注意

本文中的部分表格可能無法在 Microsoft Defender for Endpoint 中使用。 使用更多資料來源開啟 Microsoft 365 Defender以尋找威脅。 您可以遵循從 microsoft defender for endpoint 遷移 advanced 搜尋查詢中的步驟,將您的高級搜尋工作流程從 microsoft defender for endpoint 移至 Microsoft 365 Defender。