Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR

  • Artikkeli

Huomautus

Haluatko kokea Microsoft Defender XDR:n? Lue lisätietoja siitä, miten voit arvioida Microsoft Defender XDR:n ja osallistua sen pilottikokeiluun.

Koskee seuraavia:

  • Microsoft Defender XDR

Kehittynyt metsästys on kyselypohjainen uhkien metsästystyökalu, jonka avulla voit tutkia jopa 30 päivän raakadataa. Voit ennakoivasti tarkastaa verkon tapahtumat, jotta voit paikantaa uhkailmaisimet ja entiteetit. Tietojen joustava käyttö mahdollistaa sekä tunnettujen että mahdollisten uhkien rajoittamattoman metsästyksen.

Kehittynyt metsästys tukee kahta tilaa, ohjattua ja edistynyttä. Käytä ohjattua tilaa , jos et ole vielä tutustunut Kusto Query Languageen (KQL) tai haluat käyttää kyselyn muodostinta kätevästi. Käytä edistynyttä tilaa , jos haluat luoda kyselyjä alusta alkaen KQL:n avulla.

Aloittaaksesi metsästyksen, lue Valitse ohjattujen ja kehittyneiden tilojen välillä metsästää Microsoft Defender XDR.

Voit käyttää samoja uhkien metsästyskyselyitä mukautettujen tunnistussääntöjen luomiseen. Nämä säännöt suoritetaan automaattisesti, jotta voidaan tarkistaa ja vastata epäiltyihin murtotoimintoihin, väärin määritettyihin koneisiin ja muihin havaintoihin.

Kehittynyt metsästys tukee kyselyitä, jotka tarkistavat laajemman tietojoukon, joka on peräisin:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

Jos haluat käyttää kehittynyttä metsästystä, käynnistä Microsoft Defender XDR.

Lisätietoja kehittyneestä metsästyksestä Microsoft Defender for Cloud Apps tiedoissa on videossa.

Hanki käyttöoikeus

Jos haluat käyttää kehittynyttä metsästystä tai muita Microsoft Defender XDR ominaisuuksia, tarvitset asianmukaisen roolin Microsoft Entra ID. Lue lisätietoja laajennetun metsästyksen pakollisista rooleista ja käyttöoikeuksista.

Myös päätepistetietojen käyttöoikeus määräytyy roolipohjaisen käytön valvonnan (RBAC) asetusten perusteella Microsoft Defender for Endpoint. Lue lisää Microsoft Defender XDR käyttöoikeuksien hallinnasta.

Tietojen tuoreus ja päivitystiheys

Kehittyneet metsästystiedot voidaan luokitella kahteen erilliseen tyyppiin, joista kukin voidaan yhdistää eri tavalla.

  • Tapahtuma- tai toimintatiedot– täyttää taulukoita hälytyksistä, suojaustapahtumista, järjestelmätapahtumista ja rutiiniarvioinneista. Kehittynyt metsästys vastaanottaa nämä tiedot lähes välittömästi sen jälkeen, kun niitä keräävät anturit ovat onnistuneesti siirtäneet ne vastaaviin pilvipalveluihin. Voit esimerkiksi kysellä tapahtumatietoja työasemien tai toimialueen ohjauskoneiden kunnossa olevista tunnistimista lähes heti, kun ne ovat käytettävissä Microsoft Defender for Endpoint ja Microsoft Defender for Identity.
  • Entiteettitiedot – täyttää taulukoihin tietoja käyttäjistä ja laitteista. Nämä tiedot ovat peräisin sekä suhteellisen staattisista tietolähteistä että dynaamisista lähteistä, kuten Active Directory -merkinnöistä ja tapahtumalokeista. Jos haluat antaa uusia tietoja, taulukoihin päivitetään uudet tiedot 15 minuutin välein, ja niihin lisätään rivejä, joita ei ehkä täytetä kokonaan. Tiedot yhdistetään 24 tunnin välein lisäämään tietue, joka sisältää uusimman ja kattavimman tietojoukon kustakin entiteetistä.

Aikavyöhyke

Kyselyt

Kehittyneen metsästyksen tiedoissa käytetään UTC (Universal Time Coordinated) -aikavyöhykettä. Näyttökuva mukautetusta aika-alueesta.

Kyselyt tulee luoda UTC-tilassa.

Tulokset

Kehittyneet metsästystulokset muunnetaan Microsoft Defender XDR määritetyksi aikavyöhykkeeksi.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.