Partager via


Choisissez entre les modes guidés et avancés à chasser dans Microsoft Defender XDR

S’applique à :

  • Microsoft Defender XDR

Vous trouverez la page de chasse avancée en accédant à la barre de navigation de gauche dans le portail Microsoft Defender et en sélectionnant Chasse>avancée. Si la barre de navigation est réduite, sélectionnez l’icône de chasse icône de chasse.

Dans la page de repérage avancé , deux modes sont pris en charge :

  • Mode guidé : pour interroger à l’aide du générateur de requêtes
  • Mode avancé : pour effectuer une requête à l’aide de l’éditeur de requête à l’aide de Langage de requête Kusto (KQL)

La main différence entre les deux modes est que le mode guidé n’exige pas que le chasseur connaisse KQL pour interroger la base de données, tandis que le mode avancé nécessite des connaissances KQL.

Le mode guidé propose un générateur de requêtes qui a un style de bloc de construction visuel facile à utiliser pour construire des requêtes via des menus déroulants contenant des filtres et des conditions disponibles. Pour utiliser le mode guidé, consultez Prise en main du mode repérage guidé.

Le mode avancé comporte une zone d’éditeur de requête dans laquelle les utilisateurs peuvent créer des requêtes à partir de zéro. Pour utiliser le mode avancé, consultez Prise en main du mode de chasse avancé.

Bien démarrer avec le mode de chasse guidé

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Lorsque vous ouvrez la page de chasse avancée pour la première fois après la mise à votre disposition de la chasse guidée, vous êtes invité à suivre la visite guidée pour en savoir plus sur les différentes parties de la page, telles que les onglets et les zones de requête.

Pour suivre la visite guidée, sélectionnez Prendre visite guidée lorsque cette bannière s’affiche :

bannière invitant l’utilisateur à suivre la visite guidée

Suivez les bulles d’enseignement bleues qui s’affichent dans la page et sélectionnez Suivant pour passer d’une étape à l’autre.

Vous pouvez reprendre la visite guidée à tout moment en accédant à Ressources> d’aideEn savoir plus et en sélectionnant Prendre la visite guidée.

Capture d’écran des ressources d’aide

Vous pouvez ensuite commencer à créer votre requête pour rechercher les menaces. Les articles suivants peuvent vous aider à tirer le meilleur parti de la chasse en mode guidé :

Objectif d’apprentissage Description Ressource
Créer votre première requête Découvrez les principes de base du générateur de requêtes, comme la spécification du domaine de données et l’ajout de conditions et de filtres pour vous aider à créer une requête significative. Pour en savoir plus, exécutez des exemples de requêtes. Créer des requêtes de chasse à l’aide du mode guidé
Découvrir les différentes fonctionnalités du générateur de requêtes Découvrez les différents types de données pris en charge et les fonctionnalités du mode guidé pour vous aider à ajuster votre requête en fonction de vos besoins. Affiner votre requête en mode guidé
Découvrez ce que vous pouvez faire avec les résultats de la requête Familiarisez-vous avec la vue Résultats et ce que vous pouvez faire avec les résultats générés, par exemple comment prendre des mesures ou les lier à un incident. - Utiliser les résultats de requête en mode guidé
- Agir sur les résultats de la requête
- Lier les résultats de la requête à un incident
Créer des règles de détection personnalisées Découvrez comment utiliser des requêtes de repérage avancées pour déclencher des alertes et prendre automatiquement des mesures de réponse. - Vue d’ensemble des détections personnalisées
- Règles de détection personnalisées

Bien démarrer avec le mode de chasse avancé

Nous vous recommandons de suivre ces étapes pour commencer rapidement avec la chasse avancée :

Objectif d’apprentissage Description Ressource
Apprendre la langue Le repérage avancé est basé sur langage de requête Kusto, prenant en charge la même syntaxe et les mêmes opérateurs. Commencez à découvrir le langage de requête en exécutant votre première requête. Vue d'ensemble du language de requête
Découvrez comment utiliser les résultats de la requête Découvrez les graphiques et les différentes façons d’afficher ou d’exporter vos résultats. Découvrez comment ajuster rapidement les requêtes, explorer pour obtenir des informations plus riches et prendre des mesures de réponse. - Utiliser les résultats de requête en mode avancé
- Agir sur les résultats de la requête
- Lier les résultats de la requête à un incident
Comprendre le schéma Obtenez une compréhension optimale des tableaux du schéma et de leurs colonnes. Découvrez où rechercher des données lors de la construction de vos requêtes. - Informations de référence sur le schéma
- Transition à partir de Microsoft Defender pour point de terminaison
Obtenir des conseils et des exemples d’experts Entraînez-vous gratuitement avec des guides d’experts Microsoft. Explorez les collections de requêtes prédéfinies couvrant différents scénarios de repérage de menaces. - Obtenir une formation d’expert
- Utiliser des requêtes partagées
- Chasse go
- Rechercher les menaces sur les appareils, les e-mails, les applications et les identités
Optimiser les requêtes et gérer les erreurs Découvrez comment créer des requêtes efficaces et sans erreur. - Meilleures pratiques relatives aux requêtes
- Gérer les erreurs
Créer des règles de détection personnalisées Découvrez comment utiliser des requêtes de repérage avancées pour déclencher des alertes et prendre automatiquement des mesures de réponse. - Vue d’ensemble des détections personnalisées
- Règles de détection personnalisées

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.