Teilen über

Verwenden von freigegebenen Abfragen bei der erweiterten Suche

  • Artikel
  • Gilt für:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Erweiterte Suche-Abfragen können von Benutzern derselben Organisation geteilt werden. Sie können auch Abfragen speichern, auf die nur Sie zugreifen können. Sie können auch Communityabfragen finden, die öffentlich auf GitHub freigegeben werden. Mit diesen gespeicherten Abfragen können Sie schnell bestimmte Bedrohungssuchszenarien verfolgen, ohne Abfragen von Grund auf neu schreiben zu müssen.

Auf der Registerkarte Abfragen in der erweiterten Suche finden Sie die Dropdownmenüs für Freigegebene Abfragen, Meine Abfragen und Communityabfragen. Sie können einen nach unten zeigenden Pfeil auswählen, um ein Menü zu erweitern.

Freigegebene Abfragen, Meine Abfragen und Communityabfragen im Microsoft Defender-Portal

Speichern, Ändern und Freigeben einer Abfrage

Sie können eine neue oder vorhandene Abfrage so speichern, dass Sie nur für Sie zugänglich oder für andere Benutzer in Ihrer Organisation freigegeben ist.

  1. Erstellen oder Ändern einer Abfrage.

  2. Klicken Sie auf die Dropdownschaltfläche Abfrage speichern, und wählen Sie Speichern unteraus.

  3. Geben Sie einen Namen für die Abfrage ein.

    Die neue Abfrage, die im Microsoft Defender-Portal gespeichert werden soll

  4. Wählen Sie den Ordner aus, in dem Sie die Abfrage speichern möchten.

    • Freigegebene Abfragen – für alle Benutzer in Ihrer Organisation freigegeben
    • Meine Abfragen – nur für Sie zugänglich

  5. Klicken Sie auf Speichern.

Löschen oder Umbenennen einer Abfrage

  1. Wählen Sie die drei Punkte rechts neben einer Abfrage aus, die Sie umbenennen oder löschen möchten.

    Umbenennen oder Löschen einer Abfrage auf der Seite

  2. Wählen Sie Löschen aus, und bestätigen Sie Löschung. Oder wählen Sie Umbenennen aus und geben Sie einen neuen Namen für die Abfrage ein.

Um einen Link zu generieren, der Ihre Abfrage direkt im Abfrage-Editor für die erweiterte Suche öffnet, schließen Sie ihre Abfrage ab, und wählen Sie Link freigeben aus.

Zugreifen auf Communityabfragen im GitHub-Repository

Microsoft-Sicherheitsexperten Teilen regelmäßig Abfragen zur erweiterten Suche in einem dazu vorgesehenen öffentlichen Repository auf GitHub. Die Beiträge zu diesem Repository werden vor der Veröffentlichung überprüft. Um dazu beizutragen, treten Sie GitHub kostenlos bei.

Sie können diese Abfragen auch ganz einfach im Dropdownmenü Communityabfragen finden.

Nach Ordner sortierte Communityabfragen im Microsoft Defender-Portal

Communityabfragen werden in Ordnern wie Kampagnen, Sammlung, Verteidigungshinterziehung usw. gruppiert. Weitere Informationen zur Abfrage werden als Inlinekommentare in der Abfrage selbst bereitgestellt.

Tipp

Microsoft-Sicherheitsexperten stellen zudem Abfragen zur erweiterten Suche bereit, mit denen Sie Aktivitäten und Indikatoren finden können, die mit neuen Bedrohungen verbunden sind. Diese Abfragen werden als Teil der Bedrohungsanalyseberichte in Microsoft Defender XDR bereitgestellt.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.