Proaktív veszélyforrás-keresés fejlett veszélyforrás-kereséssel a Microsoft Defender
A speciális veszélyforrás-keresés egy lekérdezésalapú veszélyforrás-keresési eszköz, amely akár 30 napnyi nyers adat feltárását is lehetővé teszi. Proaktívan megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők és entitások megkereséséhez. Az adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és a potenciális fenyegetések korlátozás nélküli keresését.
A speciális veszélyforrás-keresés két módot támogat: irányított és haladó. Irányított módot akkor használjon, ha még nem ismeri a Kusto lekérdezésnyelv (KQL) használatát, vagy inkább a lekérdezésszerkesztő kényelmét részesíti előnyben. Speciális módot akkor használjon, ha a KQL használatával teljesen új lekérdezéseket szeretne létrehozni.
A veszélyforrás-keresés megkezdéséhez olvassa el a Választás az irányított és a speciális módok közül a kereséshez a Microsoft Defender portálon című cikket.
Ugyanezekkel a veszélyforrás-keresési lekérdezésekkel egyéni észlelési szabályokat hozhat létre. Ezek a szabályok automatikusan futnak a gyanús biztonsági incidensek, a helytelenül konfigurált gépek és egyéb eredmények kereséséhez és megválaszolásához.
A speciális veszélyforrás-keresés azokat a lekérdezéseket támogatja, amelyek az alábbiakból származó szélesebb adatkészletet ellenőrzik:
- Végponthoz készült Microsoft Defender
- Office 365-höz készült Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Sentinel
A speciális veszélyforrás-keresés használatához kapcsolja be a Microsoft Defender XDR. Ha speciális veszélyforrás-kereséseket szeretne használni Microsoft Sentinel, csatlakozzon Microsoft Sentinel a Defender portálhoz.
A Microsoft Defender for Cloud Apps adatok speciális veszélyforrás-kereséséről a videóban talál további információt.
Hozzáférés kérése
A speciális veszélyforrás-keresés vagy más Microsoft Defender XDR képességek használatához megfelelő szerepkörre van szükség a Microsoft Entra ID. További információ a speciális veszélyforrás-kereséshez szükséges szerepkörökről és engedélyekről.
Emellett a végpontadatokhoz való hozzáférést az Végponthoz készült Microsoft Defender szerepköralapú hozzáférés-vezérlési (RBAC) beállításai határozzák meg. További információ a Microsoft Defender XDR hozzáférésének kezeléséről.
Adatok frissessége és frissítési gyakorisága
A speciális veszélyforrás-keresési adatok két különböző típusba sorolhatók, amelyek mindegyike eltérően van összesítve.
- Esemény- vagy tevékenységadatok – táblákat tölt fel a riasztásokról, biztonsági eseményekről, rendszereseményekről és rutinértékelésekről. A speciális veszélyforrás-keresés szinte azonnal megkapja ezeket az adatokat, miután a begyűjtött érzékelők sikeresen továbbítják azokat a megfelelő felhőszolgáltatásoknak. Például szinte azonnal lekérdezheti a munkaállomások vagy tartományvezérlők kifogástalan állapotú érzékelőinek eseményadatait, miután elérhetők Végponthoz készült Microsoft Defender és Microsoft Defender for Identity.
- Entitásadatok – a táblákat a felhasználókra és eszközökre vonatkozó információkkal tölti fel. Ezek az adatok viszonylag statikus adatforrásokból és dinamikus forrásokból származnak, például Active Directory-bejegyzésekből és eseménynaplókból. Friss adatok biztosítása érdekében a táblák 15 percenként frissülnek az új információkkal, és olyan sorokat adnak hozzá, amelyek esetleg nem lesznek teljesen kitöltve. Az adatok 24 óránként összesítve egy olyan rekordot szúrnak be, amely az egyes entitások legfrissebb, legátfogóbb adatkészletét tartalmazza.
Időzóna
Lekérdezések
A speciális veszélyforrás-keresési adatok az UTC (egyezményes világidő) időzónát használják.
A lekérdezéseket UTC formátumban kell létrehozni.
Eredmények
A speciális veszélyforrás-keresési eredmények a Microsoft Defender XDR időzónájára lesznek konvertálva.
Kapcsolódó témakörök
- Válasszon az irányított és a speciális veszélyforrás-keresési módok közül
- Keresési lekérdezések létrehozása interaktív módban
- Lekérdezés nyelvének megismerése
- A séma értelmezése
- Microsoft Graph security API
- Egyéni észlelések áttekintése
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.