Gå proaktivt på jagt efter trusler med avanceret jagt i Microsoft 365 Defender

Bemærk

Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.

Gælder for:

  • Microsoft 365 Defender

Avanceret jagt er et forespørgselsbaseret trusselsjagtværktøj, der giver dig mulighed for at udforske op til 30 dages rådata. Du kan proaktivt inspicere hændelser i dit netværk for at finde trusselsindikatorer og -enheder. Den fleksible adgang til data gør det muligt at jagte både kendte og potentielle trusler uden begrænsninger.

Avanceret jagt understøtter to tilstande, guidet og avanceret. Brug automatiseret tilstand , hvis du endnu ikke kender Kusto Query Language (KQL), eller foretrækker bekvemmeligheden ved en forespørgselsgenerator. Brug avanceret tilstand , hvis du er fortrolig med at bruge KQL til at oprette forespørgsler fra bunden.

Hvis du vil på jagt, skal du læse Vælg mellem guidede og avancerede tilstande at jage i Microsoft 365 Defender.

Du kan bruge de samme trusselsjagtforespørgsler til at oprette brugerdefinerede registreringsregler. Disse regler kører automatisk for at kontrollere for og derefter reagere på mistanke om brudaktivitet, forkert konfigurerede maskiner og andre resultater.

Denne funktion svarer til avanceret jagt i Microsoft Defender for Endpoint og understøtter forespørgsler, der kontrollerer et bredere datasæt, der kommer fra:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Hvis du vil bruge avanceret jagt, skal du aktivere Microsoft 365 Defender.

Du kan finde flere oplysninger om avanceret jagt i Microsoft Defender for Cloud Apps data i videoen.

Få adgang

Hvis du vil bruge avanceret jagt eller andre Microsoft 365 Defender funktioner, skal du have en passende rolle i Azure Active Directory. Læs om påkrævede roller og tilladelser til avanceret jagt.

Din adgang til slutpunktsdata bestemmes også af RBAC-indstillinger (role-based access control) i Microsoft Defender for Endpoint. Læs om administration af adgang til Microsoft 365 Defender.

Opdateringshyppighed og opdateringshyppighed for data

Avancerede jagtdata kan kategoriseres i to forskellige typer, der hver især konsolideres forskelligt.

  • Hændelses- eller aktivitetsdata – udfylder tabeller om beskeder, sikkerhedshændelser, systemhændelser og rutinevurderinger. Avanceret jagt modtager disse data næsten umiddelbart efter sensorerne, der indsamler dem, overfører dem til de tilsvarende cloudtjenester. Du kan f.eks. forespørge om hændelsesdata fra sunde sensorer på arbejdsstationer eller domænecontrollere næsten umiddelbart efter, at de er tilgængelige på Microsoft Defender for Endpoint og Microsoft Defender for Identity.
  • Objektdata – udfylder tabeller med oplysninger om brugere og enheder. Disse data kommer fra både relativt statiske datakilder og dynamiske kilder, f.eks. Active Directory-poster og hændelseslogge. For at levere nye data opdateres tabeller med nye oplysninger hvert 15. minut og tilføjer rækker, der muligvis ikke er udfyldt fuldt ud. Hver 24. time konsolideres data for at indsætte en post, der indeholder det nyeste og mest omfattende datasæt om hvert objekt.

Tidszone

Forespørgsler

Avancerede jagtdata bruger UTC-tidszonen (Universal Time Coordinated). Skærmbillede af brugerdefineret tidsinterval.

Forespørgsler skal oprettes i UTC.

Resultater

Avancerede jagtresultater konverteres til den tidszone, der er angivet i Microsoft 365 Defender.