Proaktivní vyhledávání hrozeb s pokročilým vyhledáváním v Microsoft Defender
Článek
Platí pro:
Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal
Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje zkoumat nezpracovaná data až za 30 dnů. Můžete proaktivně kontrolovat události ve vaší síti a vyhledávat indikátory hrozeb a entity. Flexibilní přístup k datům umožňuje unconstrained proaktivní vyhledávání známých i potenciálních hrozeb.
Rozšířené proaktivní vyhledávání podporuje dva režimy, s průvodcem a pokročilým. Pokud ještě neznáte dotazovací jazyk Kusto (KQL) nebo dáváte přednost pohodlí tvůrce dotazů, použijte režim s průvodcem. Pokud jste obeznámeni s vytvářením dotazů od začátku, použijte rozšířený režim .
Stejné dotazy proaktivního vyhledávání hrozeb můžete použít k vytvoření vlastních pravidel detekce. Tato pravidla se spouští automaticky, aby zkontrolovala a pak reagovala na podezřelou aktivitu porušení zabezpečení, chybně nakonfigurované počítače a další zjištění.
Rozšířené proaktivní vyhledávání podporuje dotazy, které kontrolují širší datovou sadu pocházející z:
Data rozšířeného proaktivního vyhledávání je možné kategorizovat do dvou různých typů, z nichž každý se konsoliduje odlišně.
Data o událostech nebo aktivitách – naplní tabulky o výstrahách, událostech zabezpečení, systémových událostech a rutinních hodnoceních. Rozšířené proaktivní vyhledávání přijímá tato data téměř okamžitě poté, co je senzory, které je shromažďují, je úspěšně přenesou do odpovídajících cloudových služeb. Můžete se například dotazovat na data událostí ze senzorů, které jsou v pořádku, na pracovních stanicích nebo řadičích domény téměř okamžitě poté, co jsou k dispozici na Microsoft Defender for Endpoint a Microsoft Defender for Identity.
Data entit – naplní tabulky informacemi o uživatelích a zařízeních. Tato data pocházejí jak z relativně statických zdrojů dat, tak z dynamických zdrojů, jako jsou položky služby Active Directory a protokoly událostí. Aby bylo možné poskytovat nová data, aktualizují se tabulky o nové informace každých 15 minut a přidávají se řádky, které nemusí být plně vyplněné. Každých 24 hodin se data konsolidují a vloží záznam, který obsahuje nejnovější a nejkomplexnější datovou sadu o každé entitě.
Časová zóna
Dotazy
Rozšířená data proaktivního vyhledávání používají časové pásmo UTC (Universal Time Coordinated).
Dotazy by se měly vytvářet ve standardu UTC.
Výsledky
Rozšířené výsledky vyhledávání se převedou na časové pásmo nastavené v Microsoft Defender XDR.
Proaktivní vyhledávání s asistencí v Microsoft Defender XDR nevyžaduje znalosti KQL, zatímco rozšířené proaktivní vyhledávání umožňuje napsat dotaz úplně od začátku.
Vytvořte první dotaz proaktivního vyhledávání hrozeb a seznamte se s běžnými operátory a dalšími aspekty dotazovacího jazyka rozšířeného proaktivního vyhledávání.
Seznamte se s tabulkami ve schématu rozšířeného proaktivního vyhledávání, abyste porozuměli datům, na kterých můžete spouštět dotazy proaktivního vyhledávání hrozeb.