Delen via


Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender

Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's waarmee u tot 30 dagen aan onbewerkte gegevens kunt verkennen. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. De flexibele toegang tot gegevens maakt een onbeperkte opsporing van zowel bekende als potentiƫle bedreigingen mogelijk.

Geavanceerde opsporing ondersteunt twee modi, begeleide en geavanceerde. Gebruik de begeleide modus als u nog niet bekend bent met Kusto-querytaal (KQL) of de voorkeur geeft aan het gemak van een opbouwfunctie voor query's. Gebruik de geavanceerde modus als u vertrouwd bent met het gebruik van KQL om volledig nieuwe query's te maken.

Als u wilt beginnen met jagen, leest u Kiezen tussen begeleide en geavanceerde modi om te zoeken in de Microsoft Defender-portal.

U kunt dezelfde query's voor het opsporen van bedreigingen gebruiken om aangepaste detectieregels te maken. Deze regels worden automatisch uitgevoerd om te controleren op en vervolgens te reageren op verdachte inbreukactiviteiten, onjuist geconfigureerde machines en andere bevindingen.

Geavanceerde opsporing ondersteunt query's die een bredere gegevensset controleren die afkomstig zijn van:

  • Microsoft Defender voor Eindpunt
  • Microsoft Defender voor Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Sentinel

Als u geavanceerde opsporing wilt gebruiken, schakelt u Microsoft Defender XDR in. Als u geavanceerde opsporing met Microsoft Sentinel wilt gebruiken, maakt u Microsoft Sentinel verbinding met de Defender-portal.

Zie de video voor meer informatie over geavanceerde opsporing in Microsoft Defender for Cloud Apps gegevens.

Toegang krijgen

Als u geavanceerde opsporings- of andere Microsoft Defender XDR mogelijkheden wilt gebruiken, hebt u een juiste rol nodig in Microsoft Entra ID. Lees meer over vereiste rollen en machtigingen voor geavanceerde opsporing.

Uw toegang tot eindpuntgegevens wordt ook bepaald door RBAC-instellingen (op rollen gebaseerd toegangsbeheer) in Microsoft Defender voor Eindpunt. Lees meer over het beheren van toegang tot Microsoft Defender XDR.

Nieuwheid van gegevens en frequentie bijwerken

Geavanceerde opsporingsgegevens kunnen worden gecategoriseerd in twee verschillende typen, elk op een andere manier geconsolideerd.

  • Gebeurtenis- of activiteitsgegevens: vult tabellen in over waarschuwingen, beveiligingsevenementen, systeemevenementen en routine-evaluaties. Geavanceerde opsporing ontvangt deze gegevens vrijwel direct nadat de sensoren die ze verzamelen ze met succes naar de bijbehorende cloudservices hebben verzonden. U kunt bijvoorbeeld query's uitvoeren op gebeurtenisgegevens van gezonde sensoren op werkstations of domeincontrollers, bijna direct nadat ze beschikbaar zijn op Microsoft Defender voor Eindpunt en Microsoft Defender for Identity.
  • Entiteitsgegevens: vult tabellen met informatie over gebruikers en apparaten. Deze gegevens zijn afkomstig van zowel relatief statische gegevensbronnen als dynamische bronnen, zoals Active Directory-vermeldingen en gebeurtenislogboeken. Om nieuwe gegevens te leveren, worden tabellen elke 15 minuten bijgewerkt met nieuwe informatie, waarbij rijen worden toegevoegd die mogelijk niet volledig zijn ingevuld. Elke 24 uur worden gegevens samengevoegd om een record in te voegen die de meest recente, meest uitgebreide gegevensset over elke entiteit bevat.

Tijdzone

Query's

Geavanceerde opsporingsgegevens maken gebruik van de TIJDZONE UTC (Universal Time Coordinated). Schermopname van aangepast tijdsbereik.

Query's moeten worden gemaakt in UTC.

Resultaten

Geavanceerde opsporingsresultaten worden geconverteerd naar de tijdzone die is ingesteld in Microsoft Defender XDR.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.