Wählen Sie zwischen geführten und erweiterten Modi, um in Microsoft Defender XDR
Gilt für:
- Microsoft Defender XDR
Sie finden die Seite für die erweiterte Suche, indem Sie im Microsoft Defender Portal zur linken Navigationsleiste navigieren und HuntingAdvanced hunting (Erweiterte Suche)> auswählen. Wenn die Navigationsleiste reduziert ist, wählen Sie das 
.
Auf der Seite "Erweiterte Suche " werden zwei Modi unterstützt:
- Geführter Modus : Zum Abfragen mithilfe des Abfrage-Generators
- Erweiterter Modus: Abfragen mithilfe des Abfrage-Editors mit Kusto-Abfragesprache (KQL)
Der Standard Unterschied zwischen den beiden Modi besteht darin, dass der Jäger für den geführten Modus keine KQL-Kenntnisse zum Abfragen der Datenbank benötigt, während für den erweiterten Modus KQL-Kenntnisse erforderlich sind.
Der geführte Modus verfügt über einen Abfrage-Generator, der über einen einfach zu bedienenden visuellen Bausteinstil zum Erstellen von Abfragen über Dropdownmenüs mit verfügbaren Filtern und Bedingungen verfügt. Informationen zur Verwendung des geführten Modus finden Sie unter Erste Schritte mit dem Modus für die geführte Suche.
Der erweiterte Modus verfügt über einen Abfrage-Editor-Bereich, in dem Benutzer Abfragen von Grund auf neu erstellen können. Informationen zur Verwendung des erweiterten Modus finden Sie unter Erste Schritte mit dem erweiterten Hunting-Modus.
Erste Schritte mit dem Modus für die geführte Suche
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Wenn Sie die Seite für die erweiterte Suche zum ersten Mal öffnen, nachdem Ihnen die geführte Suche zur Verfügung gestellt wurde, sind Sie eingeladen, an der Tour teilzunehmen, um mehr über die verschiedenen Teile der Seite wie die Registerkarten und Abfragebereiche zu erfahren.
Um die Tour zu nehmen, wählen Sie Tour machen aus, wenn dieses Banner angezeigt wird:
Folgen Sie den blauen Unterrichtsblasen, die auf der gesamten Seite angezeigt werden, und wählen Sie Weiter aus, um von einem Schritt zum nächsten zu wechseln.
Sie können die Tour jederzeit erneut durchführen, indem Sie zu Hilferessourcen>Weitere Informationen wechseln und Die Tour durchführen auswählen.
Sie können dann mit dem Erstellen Ihrer Abfrage beginnen, um nach Bedrohungen zu suchen. Die folgenden Artikel helfen Ihnen, die Suche im geführten Modus optimal zu nutzen:
| Lernziel | Beschreibung | Ressource |
|---|---|---|
| Erstellen Ihrer ersten Abfrage | Lernen Sie die Grundlagen des Abfrage-Generators kennen, z. B. das Angeben der Datendomäne und das Hinzufügen von Bedingungen und Filtern, die Ihnen beim Erstellen einer aussagekräftigen Abfrage helfen. Weitere Informationen finden Sie durch Ausführen von Beispielabfragen. | Erstellen von Hunting-Abfragen im geführten Modus |
| Lernen Sie die verschiedenen Funktionen des Abfrage-Generators kennen. | Lernen Sie die verschiedenen unterstützten Datentypen und Funktionen für den geführten Modus kennen, mit denen Sie Ihre Abfrage gemäß Ihren Anforderungen optimieren können. | Optimieren der Abfrage im geführten Modus |
| Erfahren Sie, was Sie mit Abfrageergebnissen tun können. | Machen Sie sich mit der Ergebnisansicht vertraut, und machen Sie sich mit den generierten Ergebnissen vertraut, z. B. wie Sie Maßnahmen ergreifen oder sie mit einem Incident verknüpfen können. |
-
Arbeiten mit Abfrageergebnissen im geführten Modus - Ausführen von Aktionen für Abfrageergebnisse - Verknüpfen von Abfrageergebnissen mit einem Incident |
| Erstellen benutzerdefinierter Erkennungsregeln | Lernen Sie, wie Sie Abfragen zur erweiterten Bedrohungssuche verwenden können, um Warnungen auszulösen und automatisch Gegenmaßnahmen zu ergreifen. |
-
Übersicht über benutzerdefinierte Erkennungen - Benutzerdefinierte Erkennungsregeln |
Erste Schritte mit dem erweiterten Hunting-Modus
Es wird empfohlen, die folgenden Schritte auszuführen, um schnell mit der erweiterten Suche zu beginnen:
| Lernziel | Beschreibung | Ressource |
|---|---|---|
| Lernen Sie die Sprache | Die erweiterte Suche basiert auf der Kusto-Abfragesprache und unterstützt dieselbe Syntax und dieselben Operatoren. Beginnen Sie, die Abfragesprache zu erlernen, indem Sie die erste Abfrage ausführen. | Übersicht über die Abfragesprache |
| Erfahren Sie, wie Sie die Abfrageergebnisse verwenden. | Machen Sie sich mit Diagrammen und verschiedenen Möglichkeiten vertraut, wie Sie Ihre Ergebnisse anzeigen oder exportieren können. Erkunden Sie, wie Sie Abfragen schnell optimieren, einen Drilldown ausführen können, um umfangreichere Informationen zu erhalten und Gegenmaßnahmen zu ergreifen. |
-
Arbeiten mit Abfrageergebnissen im erweiterten Modus - Ausführen von Aktionen für Abfrageergebnisse - Verknüpfen von Abfrageergebnissen mit einem Incident |
| Grundlegendes zum Schema | Verschaffen Sie sich einen allgemeinen Überblick über die Tabellen im Schema und die zugehörigen Spalten. Lernen Sie, wo Sie beim Erstellen von Abfragen nach Daten suchen sollten. |
-
Schemareferenz - Übergang von Microsoft Defender for Endpoint |
| Holen Sie sich Expertentipps und Beispiele | Üben Sie kostenlos mit Leitfäden von Microsoft-Experten. Erkunden Sie Sammlungen vordefinierten Abfragen, die unterschiedliche Bedrohungssuchszenarien umfassen. |
-
Erhalten Sie Expertenschulungen - Verwenden freigegebener Abfragen - Gehen Sie auf die Jagd - Suchen nach Bedrohungen über Geräte, E-Mails, Apps und Identitäten hinweg |
| Optimieren von Abfragen und Behandeln von Fehlern | Lernen Sie, wie Sie effiziente und fehlerfreie Abfragen erstellen. |
-
Bewährte Methoden für Abfragen - Behandeln von Fehlern |
| Erstellen benutzerdefinierter Erkennungsregeln | Lernen Sie, wie Sie Abfragen zur erweiterten Bedrohungssuche verwenden können, um Warnungen auszulösen und automatisch Gegenmaßnahmen zu ergreifen. |
-
Übersicht über benutzerdefinierte Erkennungen - Benutzerdefinierte Erkennungsregeln |
Siehe auch
- Grundlegendes zum Schema
- Erstellen von Hunting-Abfragen im geführten Modus
- Lernen der Abfragesprache
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.