צדים באופן יזום אחר איומים עם ציד מתקדם Microsoft Defender XDR
הערה
רוצה להתנסות ב- Microsoft Defender XDR? קבל מידע נוסף על האופן שבו ניתן להעריך ולבצע פריסת ניסיון Microsoft Defender XDR.
חל על:
- Microsoft Defender XDR
ציד מתקדם הוא כלי מבוסס שאילתות לציד איומים המאפשר לך לחקור עד 30 יום של נתונים גולמיים. באפשרותך לבדוק באופן יזום אירועים ברשת שלך כדי לאתר מחווני איומים וישויות. הגישה הגמישה לנתונים מאפשרת ציד לא מוגבל הן עבור איומים ידועים והן עבור איומים פוטנציאליים.
ציד מתקדם תומך בשני מצבים, מודרך ומתקדמים. השתמש במצב מודרך אם אינך מכיר עדיין את שפת השאילתות של Kusto (KQL) או מעדיף את הנוחות של בונה השאילתות. השתמש במצב מתקדם אם אתה מרגיש בנוח להשתמש ב- KQL כדי ליצור שאילתות מאפס.
כדי להתחיל לצוד, קרא את בחירה בין מצבים מנמדריך למצב מתקדם כדי לחפש Microsoft Defender XDR.
באפשרותך להשתמש באותם שאילתות ציד איומים כדי לבנות כללי זיהוי מותאמים אישית. כללים אלה פועלים באופן אוטומטי כדי לבדוק אם פעילות הפרות חשודות, מחשבים שתצורתם תצורתם שגויה ותצורתם שגויה, וממצאים אחרים.
ציד מתקדם תומך בשאילתות שמבדקות ערכת נתונים רחבה יותר שמגיעה מ:
- Microsoft Defender עבור נקודת קצה
- Microsoft Defender עבור Office 365
- Microsoft Defender עבור יישומי ענן
- Microsoft Defender עבור זהות
כדי להשתמש לציד מתקדם, הפעל את Microsoft Defender XDR.
לקבלת מידע נוסף אודות ציד מתקדם יישומי ענן של Microsoft Defender, צפה בסרטון הווידאו.
קבל גישה
כדי להשתמש בחיפוש מתקדם או Microsoft Defender XDR יכולות אחרות, דרוש לך תפקיד מתאים Microsoft Entra מזהה. קרא אודות תפקידים והרשאות נדרשים עבור ציד מתקדם.
כמו כן, הגישה שלך לנתונים של נקודת קצה נקבעת על-ידי הגדרות בקרת גישה מבוססת תפקיד (RBAC) Microsoft Defender עבור נקודת קצה. קרא אודות ניהול גישה Microsoft Defender XDR.
רענון נתונים ותדירות עדכונים
ניתן לסווג נתוני ציד מתקדמים לשני סוגים ייחודיים, שכל אחד מהם מאוחד בצורה שונה.
- נתוני אירוע או פעילות - מאכלס טבלאות לגבי התראות, אירועי אבטחה, אירועי מערכת והערכות שגרתיות. ציד מתקדם מקבל נתונים אלה כמעט מיד לאחר החיישנים שאוסף אותם בהצלחה לשדר אותם לשירותי הענן המתאימים. לדוגמה, באפשרותך לבצע שאילתה על נתוני אירוע מחיישנים בריאים בתחנות עבודה או בבקרי תחום כמעט מיד לאחר שהם זמינים ב- Microsoft Defender עבור נקודת קצה ו- Microsoft Defender עבור זהות.
- נתוני ישות - מאכלסים טבלאות במידע אודות משתמשים ומכשירים. נתונים אלה מגיעים הן ממקורות נתונים סטטיים יחסית והן ממקורות דינאמיים, כגון ערכי Active Directory ויומנים של אירועים. כדי לספק נתונים חדשים, טבלאות מתעדכנת בכל מידע חדש מדי 15 דקות, וייתכן ששורות שלא מאוכלסות במלואן. מדי 24 שעות, הנתונים מאוחדים כדי להוסיף רשומה המכילה את ערכת הנתונים המקיפה והעדיפה ביותר אודות כל ישות.
אזור זמן
שאילתות
נתוני ציד מתקדמים משתמשים ב אזור הזמן UTC (זמן אוניברסלי מתואם).
יש ליצור שאילתות ב- UTC.
תוצאות
תוצאות ציד מתקדמות מומרות לערכת אזור הזמן Microsoft Defender XDR.
נושאים קשורים
- בחירה בין מצבי ציד המונחים והמתקדמים
- בניית שאילתות ציד באמצעות מצב מודרך
- למד את שפת השאילתה
- הבנת הסכימה
- API של אבטחה של Microsoft Graph
- מבט כולל על זיהויים מותאמים אישית
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור