Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La chasse avancée est un outil de chasse aux menaces basé sur des requêtes que vous utilisez pour explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et entités de menace. L’accès flexible aux données facilite le repérage sans contrainte pour les menaces connues et potentielles.
La chasse avancée prend en charge deux modes : guidé et avancé. Utilisez le mode guidé si vous n’êtes pas encore familiarisé avec Langage de requête Kusto (KQL) ou si vous préférez la commodité d’un générateur de requêtes. Utilisez le mode avancé si vous êtes à l’aise avec KQL pour créer des requêtes à partir de zéro.
Pour commencer la chasse, consultez Choisir entre les modes guidés et avancés à chasser dans le portail Microsoft Defender.
Vous pouvez utiliser les mêmes requêtes de chasse aux menaces pour créer des règles de détection personnalisées. Ces règles s’exécutent automatiquement pour case activée et répondre à une activité de violation suspectée, à des machines mal configurées et à d’autres résultats.
La chasse avancée prend en charge les requêtes qui case activée un jeu de données plus large provenant de :
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour l’identité
- Microsoft Sentinel
Pour utiliser la chasse avancée, activez Microsoft Defender XDR. Ou pour utiliser la chasse avancée avec Microsoft Sentinel, connectez-Microsoft Sentinel au portail Defender.
Pour plus d’informations sur la chasse avancée dans Microsoft Defender for Cloud Apps données, consultez la vidéo.
Obtenir l’accès
Vous devez disposer d’autorisations pour pouvoir exécuter des requêtes de repérage avancé. Vous avez le choix parmi les options suivantes :
Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (URBAC) :
- Accès à la chasse avancée en lecture seule (Email & tables collaboration) : appartenance attribuée avec l’autorisation URBAC des opérations> desécurité Données> desécurité données de base (lecture) URBAC. Cette autorisation permet d’accéder aux éléments suivants :
- EmailEvents
- EmailUrlInfo
- EmailAttachmentInfo
- UrlClickEvents
- Email métadonnées d’entité
- Accès à la chasse avancée en lecture seule (Email & tables collaboration) : appartenance attribuée avec l’autorisation URBAC des opérations> desécurité Données> desécurité données de base (lecture) URBAC. Cette autorisation permet d’accéder aux éléments suivants :
Email & des autorisations de collaboration dans le portail Microsoft Defender : L’appartenance à l’un des groupes de rôles Email & Collaboration suivants permet d’accéder aux tables de données de messagerie électronique dans la chasse avancée :
- Administrateur de la sécurité
- Opérateur de sécurité
- Lecteur de sécurité
Exchange Online autorisations : pour accéder aux données Exchange Online exposées dans la chasse avancée, les utilisateurs doivent être membres de l’un des groupes de rôles Exchange Online suivants :
- View-Only Organization Management
- Afficher uniquement la configuration
- Lecteur de sécurité
- Lecteur global
Microsoft Entra autorisations : l’appartenance à l’un des rôles Microsoft Entra suivants accorde un accès en lecture complet à toutes les données de chasse avancée :
- Administrateur général
- Administrateur de la sécurité
- Lecteur de sécurité
- Lecteur global
En outre, votre accès aux données de point de terminaison est déterminé par les paramètres de contrôle d’accès en fonction du rôle (RBAC) dans Microsoft Defender pour point de terminaison. Pour plus d’informations, consultez Gérer l’accès aux Microsoft Defender XDR avec Microsoft Entra rôles globaux.
Fréquence d’actualisation et de mise à jour des données
Les données de chasse avancées se répartissent en deux types distincts, chacun avec un processus de consolidation différent.
Données sur les événements ou les activités
Les données d’événement ou d’activité remplissent des tables sur les alertes, les événements de sécurité, les événements système et les évaluations de routine. La chasse avancée reçoit ces données presque immédiatement après que les capteurs qui les collectent les ont transmises aux services cloud correspondants. Par exemple, vous pouvez interroger les données d’événement à partir de capteurs sains sur des stations de travail ou des contrôleurs de domaine presque immédiatement après leur disponibilité sur Microsoft Defender pour point de terminaison et Microsoft Defender pour Identity.
Pour collecter encore plus de propriétés d’événement, vous pouvez activer les rapports agrégés.
Données d’entité
Les données d’entité remplissent les tables avec des informations sur les utilisateurs et les appareils. Ces données proviennent à la fois de sources de données relativement statiques et de sources dynamiques, telles que les entrées Active Directory et les journaux d’événements. Pour fournir de nouvelles données, les tables sont mises à jour toutes les heures pour insérer un enregistrement qui contient le jeu de données le plus récent et le plus complet sur chaque entité, y compris d’autres informations utiles telles que les status d’intégrité et les étiquettes.
Paramètres d’utilisation et de quotas
Pour que le service reste performant et réactif, la chasse avancée définit différents quotas et paramètres d’utilisation (également appelés « limites de service »). Ces quotas et paramètres s’appliquent séparément aux requêtes exécutées manuellement et aux requêtes exécutées à l’aide de règles de détection personnalisées. Gardez à l’esprit ces limites si vous exécutez régulièrement plusieurs requêtes. Appliquez les meilleures pratiques d’optimisation pour réduire les interruptions.
Reportez-vous au tableau suivant pour comprendre les quotas et les paramètres d’utilisation existants.
| Quota ou paramètre | Taille | Cycle d’actualisation | Description |
|---|---|---|---|
| Plage de dates | 30 jours pour les données Defender XDR, sauf si elles sont diffusées via Microsoft Sentinel | Chaque requête | Chaque requête peut rechercher Defender XDR données des 30 derniers jours ou plus si elles sont diffusées via Microsoft Sentinel |
| Jeu de résultats | 100 000 lignes | Chaque requête | Chaque requête peut retourner jusqu’à 100 000 enregistrements. |
| Délai d’expiration | 10 minutes | Chaque requête | Chaque requête peut s’exécuter pendant 10 minutes. S’il ne se termine pas dans les 10 minutes, le service affiche une erreur. |
| Ressources processeur | En fonction de la taille du client | Toutes les 15 minutes | Le portail affiche un avertissement chaque fois qu’une requête s’exécute et que le locataire consomme plus de 10 % des ressources allouées. Les requêtes sont bloquées si le locataire atteint 100 % jusqu’au terme du cycle de 15 minutes suivant. |
| Limite de taille des résultats | 64 Mo | Chaque requête | Limite pour la taille globale des données de résultats, qui ne fait pas uniquement référence au nombre d’enregistrements. Des facteurs tels que le nombre de colonnes, les types de données et la longueur des champs contribuent également à la taille du résultat. Si le résultat de la requête dépasse la limite de taille de 64 Mo, le portail retourne le nombre maximal d’enregistrements qu’il peut atteindre dans cette limite et affiche un message indiquant que les résultats affichés sont partiels en raison de contraintes de taille. |
Dans le portail Microsoft Defender unifié, vous pouvez exécuter des requêtes sur des tables Microsoft Sentinel en intégrant un espace de travail. Les limites de l’espace de travail Log Analytics s’appliquent donc également.
Pour la chasse avancée dans les organisations multilocataires, consultez Quotas dans la chasse avancée dans la gestion multilocataire.
Remarque
Un ensemble distinct de quotas et de paramètres s’applique aux requêtes de repérage avancées effectuées via l’API. En savoir plus sur les API de chasse avancées
Fuseau horaire
Requêtes
La chasse avancée utilise l’utc (temps universel coordonné) pour toutes les données.
Écrire des requêtes au format UTC.
Résultats
Microsoft Defender XDR convertit les résultats de chasse avancés en fuseau horaire que vous définissez.
Pour étendre la rétention de 30 jours pour la chasse avancée, utilisez les API de streaming
Pour étendre la rétention de 30 jours pour la chasse avancée, consultez les ressources suivantes :
- API de streaming Microsoft Defender XDR
- API de streaming de données brutes Microsoft Defender pour point de terminaison
Remarque
La conservation des données commence à partir du premier jour que vous implémentez et activez l’API de streaming.
Contenu connexe
- Choisir entre les modes de chasse guidés et avancés
- Créer des requêtes de chasse à l’aide du mode guidé
- Apprendre le langage de requête
- Comprendre le schéma
- API de sécurité Microsoft Graph
- Vue d’ensemble des détections personnalisées
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.