Partager via

Utiliser des requêtes partagées dans un repérage avancé

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Les requêtes de repérage avancé peuvent être partagées entre les utilisateurs au sein de la même organisation. Vous pouvez également enregistrer des requêtes qui ne sont accessibles qu’à vous. Vous pouvez également trouver des requêtes de communauté qui sont partagées publiquement sur GitHub. Ces requêtes enregistrées vous permettent de poursuivre rapidement des scénarios de chasse aux menaces spécifiques sans avoir à écrire des requêtes à partir de zéro.

Sous l’onglet Requêtes de la chasse avancée, vous trouverez les menus déroulants pour Requêtes partagées, Mes requêtes et Requêtes de communauté. Vous pouvez sélectionner une flèche vers le bas pour développer un menu.

Requêtes partagées, Mes requêtes et Requêtes de communauté dans le portail Microsoft Defender

Enregistrer, modifier et partager une requête

Vous pouvez enregistrer une requête nouvelle ou existante pour qu’elle soit uniquement accessible à vous-même ou partagée avec d’autres utilisateurs au sein de votre organisation.

  1. Création ou modification d’une requête.

  2. Cliquez sur le bouton déroulant Enregistrer la requête, puis sélectionnez Enregistrer sous.

  3. Entrez un nom pour la requête.

    Nouvelle requête sur le point d’être enregistrée dans le portail Microsoft Defender

  4. Sélectionnez le dossier dans lequel vous voulez enregistrer la requête.

    • Requêtes partagées : partagées avec tous les utilisateurs de votre organisation
    • Mes requêtes : accessibles uniquement à vous

  5. Cliquez sur Enregistrer.

Supprimer ou renommer une requête

  1. Sélectionnez les trois points à droite d’une requête que vous souhaitez renommer ou supprimer.

    Renommer ou supprimer une requête dans la page Repérage avancé du portail Microsoft Defender

  2. Sélectionnez Supprimer et confirmer la suppression. Ou sélectionnez Renommer et attribuer un nouveau nom à la requête.

Pour générer un lien qui ouvre votre requête directement dans l’éditeur de requête de repérage avancé, finalisez votre requête et sélectionnez Partager le lien.

Accéder aux requêtes de la communauté dans le référentiel GitHub

Les chercheurs en matière de sécurité Microsoft partagent régulièrement des requêtes de repérage avancée dans un référentiel public désigné sur GitHub. Les contributions à ce dépôt sont examinées avant d’être publiées. Si vous souhaitez contribuer, veuillez rejoindre GitHub gratuitement.

Vous pouvez facilement trouver ces requêtes dans le menu déroulant Requêtes de la communauté .

Requêtes de la communauté organisées par dossier dans le portail Microsoft Defender

Les requêtes de la communauté sont regroupées dans des dossiers tels que Campagnes, Collection, Évasion de défense, etc. Des informations supplémentaires sur la requête sont fournies sous forme de commentaires en ligne dans la requête elle-même.

Conseil

Les chercheurs en matière de sécurité Microsoft proposent également des requêtes de repérage avancé que vous pouvez utiliser pour localiser les activités et indicateurs associés aux menaces émergentes. Ces requêtes sont fournies dans le cadre des rapports d’analyse des menaces dans Microsoft Defender XDR.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.