Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender
Kehittynyt metsästys on kyselypohjainen uhkien metsästystyökalu, jonka avulla voit tutkia jopa 30 päivän raakadataa. Voit ennakoivasti tarkastaa verkon tapahtumat, jotta voit paikantaa uhkailmaisimet ja entiteetit. Tietojen joustava käyttö mahdollistaa sekä tunnettujen että mahdollisten uhkien rajoittamattoman metsästyksen.
Kehittynyt metsästys tukee kahta tilaa, ohjattua ja edistynyttä. Käytä ohjattua tilaa , jos et ole vielä tutustunut Kusto Query Languageen (KQL) tai haluat käyttää kyselyn muodostinta kätevästi. Käytä edistynyttä tilaa , jos haluat luoda kyselyjä alusta alkaen KQL:n avulla.
Jos haluat aloittaa metsästyksen, lue valitse ohjattujen ja kehittyneiden tilojen välillä metsästäminen Microsoft Defender portaalissa.
Voit käyttää samoja uhkien metsästyskyselyitä mukautettujen tunnistussääntöjen luomiseen. Nämä säännöt suoritetaan automaattisesti, jotta voidaan tarkistaa ja vastata epäiltyihin murtotoimintoihin, väärin määritettyihin koneisiin ja muihin havaintoihin.
Kehittynyt metsästys tukee kyselyitä, jotka tarkistavat laajemman tietojoukon, joka on peräisin:
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Sentinel
Jos haluat käyttää kehittynyttä metsästystä, käynnistä Microsoft Defender XDR. Jos haluat käyttää kehittynyttä metsästystä Microsoft Sentinel kanssa, yhdistä Microsoft Sentinel Defender-portaaliin.
Lisätietoja kehittyneestä metsästyksestä Microsoft Defender for Cloud Apps tiedoissa on videossa.
Hanki käyttöoikeus
Jos haluat käyttää kehittynyttä metsästystä tai muita Microsoft Defender XDR ominaisuuksia, tarvitset asianmukaisen roolin Microsoft Entra ID. Lue lisätietoja laajennetun metsästyksen pakollisista rooleista ja käyttöoikeuksista.
Myös päätepistetietojen käyttöoikeus määräytyy roolipohjaisen käytön valvonnan (RBAC) asetusten perusteella Microsoft Defender for Endpoint. Lue lisää Microsoft Defender XDR käyttöoikeuksien hallinnasta.
Tietojen tuoreus ja päivitystiheys
Kehittyneet metsästystiedot voidaan luokitella kahteen erilliseen tyyppiin, joista kukin voidaan yhdistää eri tavalla.
- Tapahtuma- tai toimintatiedot– täyttää taulukoita hälytyksistä, suojaustapahtumista, järjestelmätapahtumista ja rutiiniarvioinneista. Kehittynyt metsästys vastaanottaa nämä tiedot lähes välittömästi sen jälkeen, kun niitä keräävät anturit ovat onnistuneesti siirtäneet ne vastaaviin pilvipalveluihin. Voit esimerkiksi kysellä tapahtumatietoja työasemien tai toimialueen ohjauskoneiden kunnossa olevista tunnistimista lähes heti, kun ne ovat käytettävissä Microsoft Defender for Endpoint ja Microsoft Defender for Identity.
- Entiteettitiedot – täyttää taulukoihin tietoja käyttäjistä ja laitteista. Nämä tiedot ovat peräisin sekä suhteellisen staattisista tietolähteistä että dynaamisista lähteistä, kuten Active Directory -merkinnöistä ja tapahtumalokeista. Jos haluat antaa uusia tietoja, taulukoihin päivitetään uudet tiedot 15 minuutin välein, ja niihin lisätään rivejä, joita ei ehkä täytetä kokonaan. Tiedot yhdistetään 24 tunnin välein lisäämään tietue, joka sisältää uusimman ja kattavimman tietojoukon kustakin entiteetistä.
Aikavyöhyke
Kyselyt
Kehittyneen metsästyksen tiedoissa käytetään UTC (Universal Time Coordinated) -aikavyöhykettä.
Kyselyt tulee luoda UTC-tilassa.
Tulokset
Kehittyneet metsästystulokset muunnetaan Microsoft Defender XDR määritetyksi aikavyöhykkeeksi.
Aiheeseen liittyvät artikkelit
- Valitse ohjattujen ja kehittyneiden metsästystilojen välillä
- Luo metsästyskyselyitä ohjatun tilan avulla
- Opi kyselyn kieli
- Rakenteen ymmärtäminen
- Microsoft Graph -suojauksen ohjelmointirajapinta
- Mukautettujen havaintojen yleiskatsaus
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.