Proaktivt jakten på trusler med avansert jakt i Microsoft Defender XDR
Gjelder for:
- Microsoft Defender XDR
Avansert jakt er et spørringsbasert verktøy for trusseljakt som lar deg utforske opptil 30 dager med rådata. Du kan proaktivt undersøke hendelser i nettverket for å finne trusselindikatorer og enheter. Den fleksible tilgangen til data muliggjør ubegrenset jakt etter både kjente og potensielle trusler.
Avansert jakt støtter to moduser, veiledet og avansert. Bruk veiledet modus hvis du ennå ikke er kjent med Kusto Query Language (KQL) eller foretrekker bekvemmeligheten til et spørreverktøy. Bruk avansert modus hvis du er komfortabel med å bruke KQL til å opprette spørringer fra grunnen av.
Hvis du vil begynne å jakte, kan du lese Velg mellom veiledede og avanserte moduser for å jakte i Microsoft Defender XDR.
Du kan bruke de samme trusseljaktspørringene til å bygge egendefinerte gjenkjenningsregler. Disse reglene kjøres automatisk for å se etter og deretter svare på mistanke om bruddaktivitet, feilkonfigurerte maskiner og andre funn.
Avansert jakt støtter spørringer som kontrollerer et bredere datasett som kommer fra:
- Microsoft Defender for endepunkt
- Microsoft Defender for Office 365
- Microsoft Defender for skyapper
- Microsoft Defender for identitet
Hvis du vil bruke avansert jakt, kan du slå på Microsoft Defender XDR.
Hvis du vil ha mer informasjon om avansert jakt i Microsoft Defender for Cloud Apps data, kan du se videoen.
Få tilgang
Hvis du vil bruke avansert jakt eller andre Microsoft Defender XDR funksjoner, trenger du en passende rolle i Microsoft Entra ID. Les om nødvendige roller og tillatelser for avansert jakt.
I tillegg bestemmes tilgangen til endepunktdata av rollebaserte tilgangskontrollinnstillinger (RBAC) i Microsoft Defender for endepunkt. Les om hvordan du administrerer tilgang til Microsoft Defender XDR.
Oppdateringsfrekvens for data og oppdatering
Avanserte jaktdata kan kategoriseres i to forskjellige typer, hver konsolidert forskjellig.
- Hendelses- eller aktivitetsdata – fyller ut tabeller om varsler, sikkerhetshendelser, systemhendelser og rutinemessige vurderinger. Avansert jakt mottar disse dataene nesten umiddelbart etter sensorene som samler dem vellykket overføre dem til tilsvarende skytjenester. Du kan for eksempel spørre hendelsesdata fra friske sensorer på arbeidsstasjoner eller domenekontrollere nesten umiddelbart etter at de er tilgjengelige på Microsoft Defender for endepunkt og Microsoft Defender for identitet.
- Enhetsdata – fyller ut tabeller med informasjon om brukere og enheter. Disse dataene kommer fra både relativt statiske datakilder og dynamiske kilder, for eksempel Active Directory-oppføringer og hendelseslogger. For å gi nye data oppdateres tabeller med eventuell ny informasjon hvert 15. minutt, og legger til rader som kanskje ikke er fullstendig utfylt. Hver 24. time konsolideres data for å sette inn en post som inneholder det nyeste og mest omfattende datasettet om hver enhet.
Tidssone
Spørringer
Avanserte jaktdata bruker tidssonen UTC (Universal Time Coordinated).
Spørringer skal opprettes i UTC.
Resultater
Avanserte jaktresultater konverteres til tidssonen som er angitt i Microsoft Defender XDR.
Beslektede emner
- Velge mellom veiledede og avanserte jaktmoduser
- Bygge jaktspørringer ved hjelp av veiledet modus
- Lær spørringsspråket
- Forstå skjemaet
- Sikkerhets-API for Microsoft Graph
- Oversikt over egendefinerte gjenkjenninger
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for