Proaktív veszélyforrás-keresés fejlett veszélyforrás-kereséssel a Microsoft Defender XDR

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

A speciális veszélyforrás-keresés egy lekérdezésalapú veszélyforrás-keresési eszköz, amely akár 30 napnyi nyers adat feltárását is lehetővé teszi. Proaktívan megvizsgálhatja a hálózat eseményeit a fenyegetésjelzők és entitások megkereséséhez. Az adatokhoz való rugalmas hozzáférés lehetővé teszi az ismert és a potenciális fenyegetések korlátozás nélküli keresését.

A speciális veszélyforrás-keresés két módot támogat: irányított és haladó. Irányított módot akkor használjon, ha még nem ismeri a Kusto lekérdezésnyelv (KQL) használatát, vagy inkább a lekérdezésszerkesztő kényelmét részesíti előnyben. Speciális módot akkor használjon, ha a KQL használatával teljesen új lekérdezéseket szeretne létrehozni.

A veszélyforrás-keresés megkezdéséhez olvassa el a Választás az irányított és a speciális módok között című témakört a Microsoft Defender XDR való vadászathoz.

Ugyanezekkel a veszélyforrás-keresési lekérdezésekkel egyéni észlelési szabályokat hozhat létre. Ezek a szabályok automatikusan futnak a gyanús biztonsági incidensek, a helytelenül konfigurált gépek és egyéb eredmények kereséséhez és megválaszolásához.

A speciális veszélyforrás-keresés azokat a lekérdezéseket támogatja, amelyek az alábbiakból származó szélesebb adatkészletet ellenőrzik:

  • Végponthoz készült Microsoft Defender
  • Office 365-höz készült Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

A speciális veszélyforrás-keresés használatához kapcsolja be a Microsoft Defender XDR.

A Microsoft Defender for Cloud Apps adatok speciális veszélyforrás-kereséséről a videóban talál további információt.

Hozzáférés kérése

A speciális veszélyforrás-keresés vagy más Microsoft Defender XDR képességek használatához megfelelő szerepkörre van szükség a Microsoft Entra ID. További információ a speciális veszélyforrás-kereséshez szükséges szerepkörökről és engedélyekről.

Emellett a végpontadatokhoz való hozzáférést az Végponthoz készült Microsoft Defender szerepköralapú hozzáférés-vezérlési (RBAC) beállításai határozzák meg. További információ a Microsoft Defender XDR hozzáférésének kezeléséről.

Adatok frissessége és frissítési gyakorisága

A speciális veszélyforrás-keresési adatok két különböző típusba sorolhatók, amelyek mindegyike eltérően van összesítve.

  • Esemény- vagy tevékenységadatok – táblákat tölt fel a riasztásokról, biztonsági eseményekről, rendszereseményekről és rutinértékelésekről. A speciális veszélyforrás-keresés szinte azonnal megkapja ezeket az adatokat, miután a begyűjtött érzékelők sikeresen továbbítják azokat a megfelelő felhőszolgáltatásoknak. Például szinte azonnal lekérdezheti a munkaállomások vagy tartományvezérlők kifogástalan állapotú érzékelőinek eseményadatait, miután elérhetők Végponthoz készült Microsoft Defender és Microsoft Defender for Identity.
  • Entitásadatok – a táblákat a felhasználókra és eszközökre vonatkozó információkkal tölti fel. Ezek az adatok viszonylag statikus adatforrásokból és dinamikus forrásokból származnak, például Active Directory-bejegyzésekből és eseménynaplókból. Friss adatok biztosítása érdekében a táblák 15 percenként frissülnek az új információkkal, és olyan sorokat adnak hozzá, amelyek esetleg nem lesznek teljesen kitöltve. Az adatok 24 óránként összesítve egy olyan rekordot szúrnak be, amely az egyes entitások legfrissebb, legátfogóbb adatkészletét tartalmazza.

Időzóna

Lekérdezések

A speciális veszélyforrás-keresési adatok az UTC (egyezményes világidő) időzónát használják. Képernyőkép az egyéni időtartományról.

A lekérdezéseket UTC formátumban kell létrehozni.

Eredmények

A speciális veszélyforrás-keresési eredmények a Microsoft Defender XDR időzónájára lesznek konvertálva.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.