Vælg mellem guidede og avancerede tilstande at jage i Microsoft Defender XDR
Gælder for:
- Microsoft Defender XDR
Du kan finde den avancerede jagtside ved at gå til venstre navigationslinje på Microsoft Defender portalen og vælge Jagt>Avanceret jagt. Hvis navigationslinjen er skjult, skal du vælge 
.
På siden avanceret jagt understøttes to tilstande:
- Automatiseret tilstand – til at forespørge ved hjælp af forespørgselsgeneratoren
- Avanceret tilstand – til at forespørge ved hjælp af forespørgselseditoren ved hjælp af KQL (Kusto Query Language)
Den største forskel mellem de to tilstande er, at den guidede tilstand ikke kræver, at jægeren kender KQL for at forespørge databasen, mens avanceret tilstand kræver KQL-viden.
Automatiseret tilstand indeholder en forespørgselsgenerator, der har en brugervenlig, visuel, byggeblokeringsstil til oprettelse af forespørgsler via rullemenuer, der indeholder tilgængelige filtre og betingelser. Hvis du vil bruge automatiseret tilstand, skal du se Kom i gang med automatiseret jagttilstand.
Avanceret tilstand indeholder et forespørgselseditorområde, hvor brugerne kan oprette forespørgsler fra bunden. Hvis du vil bruge avanceret tilstand, skal du se Kom i gang med avanceret jagttilstand.
Kom i gang med automatiseret jagttilstand
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Når du åbner den avancerede jagtside for første gang, efter at automatiseret jagt er gjort tilgængelig for dig, inviteres du til at deltage i rundvisningen for at få mere at vide om de forskellige dele af siden, f.eks. fanerne og forespørgselsområderne.
Hvis du vil have rundvisningen, skal du vælge Få rundvisning , når dette banner vises:
Følg de blå undervisningsbobler, der vises på hele siden, og vælg Næste for at flytte fra ét trin til det næste.
Du kan når som helst få rundvisningen igen ved at gå til Hjælp-ressourcer>Få mere at vide og vælge Få præsentationen.
Du kan derefter begynde at oprette din forespørgsel for at jage efter trusler. Følgende artikler kan hjælpe dig med at få mest muligt ud af jagt i guidet tilstand:
| Læringsmål | Beskrivelse | Ressource |
|---|---|---|
| Udarbejde din første forespørgsel | Få mere at vide om de grundlæggende funktioner i forespørgselsgeneratoren, f.eks. angivelse af datadomænet og tilføjelse af betingelser og filtre for at hjælpe dig med at oprette en meningsfuld forespørgsel. Få mere at vide ved at køre eksempelforespørgsler. | Byg jagtforespørgsler ved hjælp af automatiseret tilstand |
| Få mere at vide om de forskellige egenskaber i Forespørgselsgenerator | Lær de forskellige understøttede datatyper og funktioner i automatiseret tilstand at kende, så du kan finjustere din forespørgsel efter dine behov. | Finindstil din forespørgsel i guidet tilstand |
| Få mere at vide om, hvad du kan gøre med forespørgselsresultater | Bliv fortrolig med resultatvisningen, og hvad du kan gøre med genererede resultater, f.eks. hvordan du udfører handlinger på dem eller linker dem til en hændelse. |
-
Arbejd med forespørgselsresultater i automatiseret tilstand - Udfør en handling på forespørgselsresultater - Kæde forespørgselsresultater til en hændelse |
| Opret regler for brugerdefineret registrering | Forstå, hvordan du kan bruge avancerede jagtforespørgsler til at udløse beskeder og udføre svarhandlinger automatisk. |
-
Oversigt over brugerdefinerede registreringer - Regler for brugerdefineret registrering |
Kom i gang med avanceret jagttilstand
Vi anbefaler, at du gennemgår disse trin for hurtigt at komme i gang med avanceret jagt:
| Læringsmål | Beskrivelse | Ressource |
|---|---|---|
| Lær sproget | Avanceret jagt er baseret på Kusto-forespørgselssprog, der understøtter den samme syntaks og operatorer. Begynd at lære forespørgselssproget ved at køre din første forespørgsel. | Oversigt over forespørgselssprog |
| Få mere at vide om, hvordan du bruger forespørgselsresultaterne | Få mere at vide om diagrammer og forskellige måder, du kan få vist eller eksportere dine resultater på. Udforsk, hvordan du hurtigt kan finjustere forespørgsler, foretage detailudledning for at få mere detaljerede oplysninger og udføre svarhandlinger. |
-
Arbejd med forespørgselsresultater i avanceret tilstand - Udfør en handling på forespørgselsresultater - Kæde forespørgselsresultater til en hændelse |
| Forstå skemaet | Få en god forståelse af tabellerne i skemaet og deres kolonner på højt niveau. Få mere at vide om, hvor du kan søge efter data, når du konstruerer dine forespørgsler. |
-
Skemareference - Overgang fra Microsoft Defender for Endpoint |
| Få eksperttips og eksempler | Oplær gratis med guider fra Microsoft-eksperter. Udforsk samlinger af foruddefinerede forespørgsler, der dækker forskellige trusselsjagtscenarier. |
-
Få ekspertuddannelse - Brug delte forespørgsler - Gå på jagt - Jagt efter trusler på tværs af enheder, mails, apps og identiteter |
| Optimer forespørgsler, og håndter fejl | Forstå, hvordan du opretter effektive og fejlfrie forespørgsler. |
-
Forespørg om bedste praksis - Håndter fejl |
| Opret regler for brugerdefineret registrering | Forstå, hvordan du kan bruge avancerede jagtforespørgsler til at udløse beskeder og udføre svarhandlinger automatisk. |
-
Oversigt over brugerdefinerede registreringer - Regler for brugerdefineret registrering |
Se også
- Forstå skemaet
- Byg jagtforespørgsler ved hjælp af automatiseret tilstand
- Få mere at vide om forespørgselssproget
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.