Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Avansert jakt er et spørringsbasert verktøy for trusseljakt som du bruker til å utforske opptil 30 dager med rådata. Du kan proaktivt undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Den fleksible tilgangen til data muliggjør ubegrenset jakt etter både kjente og potensielle trusler.
Avansert jakt støtter to moduser: veiledet og avansert. Bruk veiledet modus hvis du ennå ikke er kjent med Kusto Query Language (KQL), eller hvis du foretrekker bekvemmeligheten til et spørreverktøy. Bruk avansert modus hvis du er komfortabel med å bruke KQL til å opprette spørringer fra grunnen av.
Hvis du vil begynne å jakte, kan du se Velge mellom veiledede og avanserte moduser for å jakte i Microsoft Defender portalen.
Du kan bruke de samme trusseljaktspørringene til å bygge egendefinerte gjenkjenningsregler. Disse reglene kjøres automatisk for å se etter og deretter svare på mistanke om bruddaktivitet, feilkonfigurerte maskiner og andre funn.
Avansert jakt støtter spørringer som kontrollerer et bredere datasett som kommer fra:
- Microsoft Defender for endepunkt
- Microsoft Defender for Office 365
- Microsoft Defender for skyapper
- Microsoft Defender for identitet
- Microsoft Sentinel
Hvis du vil bruke avansert jakt, kan du slå på Microsoft Defender XDR. Eller hvis du vil bruke avansert jakt med Microsoft Sentinel, kobler du Microsoft Sentinel til Defender-portalen.
Hvis du vil ha mer informasjon om avansert jakt i Microsoft Defender for Cloud Apps data, kan du se videoen.
Få tilgang
Du må være tilordnet tillatelser før du kan kjøre avanserte jaktspørringer. Du har følgende alternativer:
Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (URBAC):
-
Skrivebeskyttet tilgang til avansert jakt (e-post & samarbeidstabeller):Medlemskap tilordnet sikkerhetsdatasikkerhetsdata medgrunnleggende (lese) URBAC-tillatelse for sikkerhetsoperasjoner>>. Denne tillatelsen gir tilgang til:
- EmailEvents
- EmailUrlInfo
- EmailAttachmentInfo
- UrlClickEvents
- Metadata for e-postenhet
-
Skrivebeskyttet tilgang til avansert jakt (e-post & samarbeidstabeller):Medlemskap tilordnet sikkerhetsdatasikkerhetsdata medgrunnleggende (lese) URBAC-tillatelse for sikkerhetsoperasjoner>>. Denne tillatelsen gir tilgang til:
E-post & samarbeidstillatelser i Microsoft Defender-portalen: Medlemskap i en av følgende rollegrupper for e-post & samarbeid gir tilgang til e-postdatatabeller i Avansert jakt:
- Sikkerhetsadministrator
- Sikkerhetsoperator
- Sikkerhetsleser
Exchange Online tillatelser: Hvis du vil ha tilgang til Exchange Online data som vises i Avansert jakt, må brukere være medlemmer av én av følgende Exchange Online rollegrupper:
- Skrivebeskyttet organisasjonsadministrasjon
- Skrivebeskyttet konfigurasjon
- Sikkerhetsleser
- Global leser
Microsoft Entra tillatelser: Medlemskap i en av følgende Microsoft Entra roller gir full lesetilgang til alle avanserte jaktdata:
- Global Administrator
- Sikkerhetsadministrator
- Sikkerhetsleser
- Global leser
I tillegg bestemmes tilgangen til endepunktdata av rollebaserte tilgangskontrollinnstillinger (RBAC) i Microsoft Defender for endepunkt. Hvis du vil ha mer informasjon, kan du se Administrere tilgang til Microsoft Defender XDR med Microsoft Entra globale roller.
Oppdateringsfrekvens for data og oppdatering
Avanserte jaktdata faller inn i to forskjellige typer, hver med en annen konsolideringsprosess.
Hendelses- eller aktivitetsdata
Hendelses- eller aktivitetsdata fyller ut tabeller om varsler, sikkerhetshendelser, systemhendelser og rutinemessige vurderinger. Avansert jakt mottar disse dataene nesten umiddelbart etter sensorene som samler dem vellykket overføre den til tilsvarende skytjenester. Du kan for eksempel spørre hendelsesdata fra friske sensorer på arbeidsstasjoner eller domenekontrollere nesten umiddelbart etter at de er tilgjengelige på Microsoft Defender for endepunkt og Microsoft Defender for identitet.
Hvis du vil samle inn enda flere hendelsesegenskaper, kan du slå på aggregert rapportering.
Enhetsdata
Enhetsdata fyller ut tabeller med informasjon om brukere og enheter. Disse dataene kommer fra både relativt statiske datakilder og dynamiske kilder, for eksempel Active Directory-oppføringer og hendelseslogger. For å gi oppdaterte data oppdateres tabeller hver time for å sette inn en post som inneholder det nyeste, mest omfattende datasettet om hver enhet, inkludert annen nyttig informasjon, for eksempel tilstandsstatus og koder.
Kvoter og bruksparametere
For å holde tjenesten ytelsesfull og responsiv angir avansert jakt ulike kvoter og bruksparametere (også kjent som «tjenestegrenser»). Disse kvotene og parameterne gjelder separat for spørringer som kjøres manuelt, og for spørringer som kjøres ved hjelp av egendefinerte gjenkjenningsregler. Vær oppmerksom på disse grensene hvis du regelmessig kjører flere spørringer. Bruk anbefalte fremgangsmåter for optimalisering for å minimere forstyrrelser.
Se tabellen nedenfor for å forstå eksisterende kvoter og bruksparametere.
| Kvote eller parameter | Størrelse | Oppdateringssyklus | Beskrivelse |
|---|---|---|---|
| Datointervall | 30 dager for Defender XDR data med mindre de strømmes gjennom Microsoft Sentinel | Hver spørring | Hver spørring kan slå opp Defender XDR data fra opptil de siste 30 dagene, eller lenger hvis de strømmes gjennom Microsoft Sentinel |
| Resultatsett | 100 000 rader | Hver spørring | Hver spørring kan returnere opptil 100 000 poster. |
| Tidsavbrudd | 10 minutter | Hver spørring | Hver spørring kan kjøre i opptil 10 minutter. Hvis den ikke fullføres innen 10 minutter, viser tjenesten en feil. |
| CPU-ressurser | Basert på leierstørrelse | Hvert 15. minutt | Portalen viser en advarsel når en spørring kjøres og tenanten bruker over 10 % av de tildelte ressursene. Spørringer blokkeres hvis leieren når 100 % til etter neste 15-minutters syklus. |
| Størrelsesgrense for resultater | 64 MB | Hver spørring | Grensen for den totale størrelsen på resultatdataene, som ikke bare refererer til antall poster. Faktorer som antall kolonner, datatyper og feltlengder bidrar også til resultatstørrelsen. Hvis spørringsresultatet overskrider størrelsesgrensen på 64 MB, returnerer portalen det maksimale antallet poster den kan innenfor denne grensen, og viser en melding som angir at resultatene som vises, er delvise på grunn av størrelsesbegrensninger. |
I den enhetlige Microsoft Defender-portalen kan du kjøre spørringer over Microsoft Sentinel tabeller ved å legge inn et arbeidsområde. Grenser for arbeidsområde for logganalyse gjelder derfor også.
For avansert jakt i organisasjoner med flere deltakere, kan du se Kvoter i avansert jakt i flertenantledelse.
Obs!
Et eget sett med kvoter og parametere gjelder for avanserte jaktspørringer utført gjennom API-en. Les om avanserte jakt-API-er
Tidssone
Spørringer
Avansert jakt bruker UTC (Universal Time Coordinated) for alle data.
Skrive spørringer i UTC.
Resultater
Microsoft Defender XDR konverterer avanserte jaktresultater til tidssonen du angir.
Hvis du vil utvide 30-dagers oppbevaring for avansert jakt, kan du bruke strømming av API-er
Hvis du vil utvide 30-dagers oppbevaring for avansert jakt, kan du se følgende ressurser:
- Microsoft Defender XDR strømming av API
- Microsoft Defender for endepunkt API for strømming av rådata
Obs!
Dataoppbevaring starter fra den første dagen du implementerer og aktiverer API-en for strømming.
Beslektet innhold
- Velge mellom veiledede og avanserte jaktmoduser
- Bygge jaktspørringer ved hjelp av veiledet modus
- Lær spørringsspråket
- Forstå skjemaet
- Sikkerhets-API for Microsoft Graph
- Oversikt over egendefinerte gjenkjenninger
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.