Del via


Proaktivt jakten på trusler med avansert jakt i Microsoft Defender

Avansert jakt er et spørringsbasert verktøy for trusseljakt som lar deg utforske opptil 30 dager med rådata. Du kan proaktivt undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Den fleksible tilgangen til data muliggjør ubegrenset jakt etter både kjente og potensielle trusler.

Avansert jakt støtter to moduser, veiledet og avansert. Bruk veiledet modus hvis du ennå ikke er kjent med Kusto Query Language (KQL) eller foretrekker bekvemmeligheten til et spørreverktøy. Bruk avansert modus hvis du er komfortabel med å bruke KQL til å opprette spørringer fra grunnen av.

Hvis du vil begynne å jakte, kan du lese Velg mellom veiledede og avanserte moduser for å jakte i Microsoft Defender portalen.

Du kan bruke de samme trusseljaktspørringene til å bygge egendefinerte gjenkjenningsregler. Disse reglene kjøres automatisk for å se etter og deretter svare på mistanke om bruddaktivitet, feilkonfigurerte maskiner og andre funn.

Avansert jakt støtter spørringer som kontrollerer et bredere datasett som kommer fra:

  • Microsoft Defender for endepunkt
  • Microsoft Defender for Office 365
  • Microsoft Defender for skyapper
  • Microsoft Defender for identitet
  • Microsoft Sentinel

Hvis du vil bruke avansert jakt, kan du slå på Microsoft Defender XDR. Eller hvis du vil bruke avansert jakt med Microsoft Sentinel, kobler du Microsoft Sentinel til Defender-portalen.

Hvis du vil ha mer informasjon om avansert jakt i Microsoft Defender for Cloud Apps data, kan du se videoen.

Få tilgang

Hvis du vil bruke avansert jakt eller andre Microsoft Defender XDR funksjoner, trenger du en passende rolle i Microsoft Entra ID. Les om nødvendige roller og tillatelser for avansert jakt.

I tillegg bestemmes tilgangen til endepunktdata av rollebaserte tilgangskontrollinnstillinger (RBAC) i Microsoft Defender for endepunkt. Les om hvordan du administrerer tilgang til Microsoft Defender XDR.

Oppdateringsfrekvens for data og oppdatering

Avanserte jaktdata kan kategoriseres i to forskjellige typer, hver konsolidert forskjellig.

  • Hendelses- eller aktivitetsdata – fyller ut tabeller om varsler, sikkerhetshendelser, systemhendelser og rutinemessige vurderinger. Avansert jakt mottar disse dataene nesten umiddelbart etter sensorene som samler dem vellykket overføre dem til tilsvarende skytjenester. Du kan for eksempel spørre hendelsesdata fra friske sensorer på arbeidsstasjoner eller domenekontrollere nesten umiddelbart etter at de er tilgjengelige på Microsoft Defender for endepunkt og Microsoft Defender for identitet.
  • Enhetsdata – fyller ut tabeller med informasjon om brukere og enheter. Disse dataene kommer fra både relativt statiske datakilder og dynamiske kilder, for eksempel Active Directory-oppføringer og hendelseslogger. For å gi nye data oppdateres tabeller med eventuell ny informasjon hvert 15. minutt, og legger til rader som kanskje ikke er fullstendig utfylt. Hver 24. time konsolideres data for å sette inn en post som inneholder det nyeste og mest omfattende datasettet om hver enhet.

Tidssone

Spørringer

Avanserte jaktdata bruker tidssonen UTC (Universal Time Coordinated). Skjermbilde av egendefinert tidsintervall.

Spørringer skal opprettes i UTC.

Resultater

Avanserte jaktresultater konverteres til tidssonen som er angitt i Microsoft Defender XDR.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.