Proaktivt jagt efter trusler med avanceret jagt i Microsoft Defender
Avanceret jagt er et forespørgselsbaseret trusselsjagtværktøj, der giver dig mulighed for at udforske op til 30 dages rådata. Du kan proaktivt inspicere hændelser i dit netværk for at finde trusselsindikatorer og -enheder. Den fleksible adgang til data muliggør uforbeholden jagt på både kendte og potentielle trusler.
Avanceret jagt understøtter to tilstande, guidet og avanceret. Brug automatiseret tilstand , hvis du endnu ikke kender Kusto Query Language (KQL), eller foretrækker bekvemmeligheden ved en forespørgselsgenerator. Brug avanceret tilstand , hvis du er fortrolig med at bruge KQL til at oprette forespørgsler fra bunden.
Hvis du vil på jagt, skal du læse Vælg mellem guidede og avancerede tilstande, der skal jages på Microsoft Defender portal.
Du kan bruge de samme trusselsjagtforespørgsler til at oprette brugerdefinerede registreringsregler. Disse regler kører automatisk for at kontrollere for og derefter reagere på mistanke om brudaktivitet, forkert konfigurerede maskiner og andre resultater.
Avanceret jagt understøtter forespørgsler, der kontrollerer et bredere datasæt, der kommer fra:
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Sentinel
Hvis du vil bruge avanceret jagt, skal du slå Microsoft Defender XDR til. Hvis du vil bruge avanceret jagt med Microsoft Sentinel, skal du oprette forbindelse Microsoft Sentinel til Defender-portalen.
Du kan finde flere oplysninger om avanceret jagt i Microsoft Defender for Cloud Apps data i videoen.
Få adgang
Hvis du vil bruge avanceret jagt eller andre Microsoft Defender XDR funktioner, skal du have en passende rolle i Microsoft Entra ID. Læs om påkrævede roller og tilladelser til avanceret jagt.
Din adgang til slutpunktsdata bestemmes også af RBAC-indstillinger (role-based access control) i Microsoft Defender for Endpoint. Læs om administration af adgang til Microsoft Defender XDR.
Opdateringshyppighed og opdateringshyppighed for data
Avancerede jagtdata kan kategoriseres i to forskellige typer, der hver især konsolideres forskelligt.
- Hændelses- eller aktivitetsdata – udfylder tabeller om beskeder, sikkerhedshændelser, systemhændelser og rutinevurderinger. Avanceret jagt modtager disse data næsten umiddelbart efter sensorerne, der indsamler dem, overfører dem til de tilsvarende cloudtjenester. Du kan f.eks. forespørge om hændelsesdata fra sunde sensorer på arbejdsstationer eller domænecontrollere næsten umiddelbart efter, at de er tilgængelige på Microsoft Defender for Endpoint og Microsoft Defender for Identity.
- Objektdata – udfylder tabeller med oplysninger om brugere og enheder. Disse data kommer fra både relativt statiske datakilder og dynamiske kilder, f.eks. Active Directory-poster og hændelseslogge. For at levere nye data opdateres tabeller med nye oplysninger hvert 15. minut og tilføjer rækker, der muligvis ikke er udfyldt fuldt ud. Hver 24. time konsolideres data for at indsætte en post, der indeholder det nyeste og mest omfattende datasæt om hvert objekt.
Tidszone
Forespørgsler
Avancerede jagtdata bruger UTC-tidszonen (Universal Time Coordinated).
Forespørgsler skal oprettes i UTC.
Resultater
Avancerede jagtresultater konverteres til den tidszone, der er angivet i Microsoft Defender XDR.
Relaterede emner
- Vælg mellem guidede og avancerede jagttilstande
- Byg jagtforespørgsler ved hjælp af automatiseret tilstand
- Få mere at vide om forespørgselssproget
- Forstå skemaet
- Microsoft Graph security API
- Oversigt over brugerdefinerede registreringer
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.