Choisissez entre les modes guidés et avancés à chasser dans Microsoft Defender XDR
S’applique à :
- Microsoft Defender XDR
Vous trouverez la page de chasse avancée en accédant à la barre de navigation de gauche dans le portail Microsoft Defender et en sélectionnant Chasse>avancée. Si la barre de navigation est réduite, sélectionnez 
.
Dans la page de repérage avancé , deux modes sont pris en charge :
- Mode guidé : pour interroger à l’aide du générateur de requêtes
- Mode avancé : pour effectuer une requête à l’aide de l’éditeur de requête à l’aide de Langage de requête Kusto (KQL)
La main différence entre les deux modes est que le mode guidé n’exige pas que le chasseur connaisse KQL pour interroger la base de données, tandis que le mode avancé nécessite des connaissances KQL.
Le mode guidé propose un générateur de requêtes qui a un style de bloc de construction visuel facile à utiliser pour construire des requêtes via des menus déroulants contenant des filtres et des conditions disponibles. Pour utiliser le mode guidé, consultez Prise en main du mode repérage guidé.
Le mode avancé comporte une zone d’éditeur de requête dans laquelle les utilisateurs peuvent créer des requêtes à partir de zéro. Pour utiliser le mode avancé, consultez Prise en main du mode de chasse avancé.
Bien démarrer avec le mode de chasse guidé
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Lorsque vous ouvrez la page de chasse avancée pour la première fois après la mise à votre disposition de la chasse guidée, vous êtes invité à suivre la visite guidée pour en savoir plus sur les différentes parties de la page, telles que les onglets et les zones de requête.
Pour suivre la visite guidée, sélectionnez Prendre visite guidée lorsque cette bannière s’affiche :
Suivez les bulles d’enseignement bleues qui s’affichent dans la page et sélectionnez Suivant pour passer d’une étape à l’autre.
Vous pouvez reprendre la visite guidée à tout moment en accédant à Ressources> d’aideEn savoir plus et en sélectionnant Prendre la visite guidée.
Vous pouvez ensuite commencer à créer votre requête pour rechercher les menaces. Les articles suivants peuvent vous aider à tirer le meilleur parti de la chasse en mode guidé :
| Objectif d’apprentissage | Description | Ressource |
|---|---|---|
| Créer votre première requête | Découvrez les principes de base du générateur de requêtes, comme la spécification du domaine de données et l’ajout de conditions et de filtres pour vous aider à créer une requête significative. Pour en savoir plus, exécutez des exemples de requêtes. | Créer des requêtes de chasse à l’aide du mode guidé |
| Découvrir les différentes fonctionnalités du générateur de requêtes | Découvrez les différents types de données pris en charge et les fonctionnalités du mode guidé pour vous aider à ajuster votre requête en fonction de vos besoins. | Affiner votre requête en mode guidé |
| Découvrez ce que vous pouvez faire avec les résultats de la requête | Familiarisez-vous avec la vue Résultats et ce que vous pouvez faire avec les résultats générés, par exemple comment prendre des mesures ou les lier à un incident. |
-
Utiliser les résultats de requête en mode guidé - Agir sur les résultats de la requête - Lier les résultats de la requête à un incident |
| Créer des règles de détection personnalisées | Découvrez comment utiliser des requêtes de repérage avancées pour déclencher des alertes et prendre automatiquement des mesures de réponse. |
-
Vue d’ensemble des détections personnalisées - Règles de détection personnalisées |
Bien démarrer avec le mode de chasse avancé
Nous vous recommandons de suivre ces étapes pour commencer rapidement avec la chasse avancée :
| Objectif d’apprentissage | Description | Ressource |
|---|---|---|
| Apprendre la langue | Le repérage avancé est basé sur langage de requête Kusto, prenant en charge la même syntaxe et les mêmes opérateurs. Commencez à découvrir le langage de requête en exécutant votre première requête. | Vue d'ensemble du language de requête |
| Découvrez comment utiliser les résultats de la requête | Découvrez les graphiques et les différentes façons d’afficher ou d’exporter vos résultats. Découvrez comment ajuster rapidement les requêtes, explorer pour obtenir des informations plus riches et prendre des mesures de réponse. |
-
Utiliser les résultats de requête en mode avancé - Agir sur les résultats de la requête - Lier les résultats de la requête à un incident |
| Comprendre le schéma | Obtenez une compréhension optimale des tableaux du schéma et de leurs colonnes. Découvrez où rechercher des données lors de la construction de vos requêtes. |
-
Informations de référence sur le schéma - Transition à partir de Microsoft Defender pour point de terminaison |
| Obtenir des conseils et des exemples d’experts | Entraînez-vous gratuitement avec des guides d’experts Microsoft. Explorez les collections de requêtes prédéfinies couvrant différents scénarios de repérage de menaces. |
-
Obtenir une formation d’expert - Utiliser des requêtes partagées - Chasse go - Rechercher les menaces sur les appareils, les e-mails, les applications et les identités |
| Optimiser les requêtes et gérer les erreurs | Découvrez comment créer des requêtes efficaces et sans erreur. |
-
Meilleures pratiques relatives aux requêtes - Gérer les erreurs |
| Créer des règles de détection personnalisées | Découvrez comment utiliser des requêtes de repérage avancées pour déclencher des alertes et prendre automatiquement des mesures de réponse. |
-
Vue d’ensemble des détections personnalisées - Règles de détection personnalisées |
Voir aussi
- Comprendre le schéma
- Créer des requêtes de chasse à l’aide du mode guidé
- Apprendre le langage de requête
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.