Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's dat u gebruikt om tot 30 dagen aan onbewerkte gegevens te verkennen. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. De flexibele toegang tot gegevens maakt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen mogelijk.
Geavanceerde opsporing ondersteunt twee modi: begeleide en geavanceerde. Gebruik de begeleide modus als u nog niet bekend bent met Kusto-querytaal (KQL) of als u liever het gemak van een opbouwfunctie voor query's gebruikt. Gebruik de geavanceerde modus als u vertrouwd bent met het gebruik van KQL om volledig nieuwe query's te maken.
U kunt dezelfde query's voor het opsporen van bedreigingen gebruiken om aangepaste detectieregels te maken. Deze regels worden automatisch uitgevoerd om te controleren op en vervolgens te reageren op verdachte inbreukactiviteiten, onjuist geconfigureerde machines en andere bevindingen.
Geavanceerde opsporing ondersteunt query's die een bredere gegevensset controleren die afkomstig zijn van:
- Microsoft Defender voor Eindpunt
- Microsoft Defender voor Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Sentinel
Als u geavanceerde opsporing wilt gebruiken, schakelt u Microsoft Defender XDR in. Als u geavanceerde opsporing met Microsoft Sentinel wilt gebruiken, maakt u Microsoft Sentinel verbinding met de Defender-portal.
Zie de video voor meer informatie over geavanceerde opsporing in Microsoft Defender for Cloud Apps gegevens.
Toegang krijgen
Er moeten machtigingen aan u zijn toegewezen voordat u Geavanceerde opsporingsquery's kunt uitvoeren. U beschikt tevens over de volgende opties:
Microsoft Defender XDR URBAC (Unified Role Based Access Control):
-
Alleen-lezen Geavanceerde opsporingstoegang (Email & samenwerkingstabellen): lidmaatschap toegewezen met de URBAC-machtiging Beveiligingsgegevens>>basisgegevens (lezen). Deze machtiging biedt toegang tot:
- EmailEvents
- EmailUrlInfo
- EmailAttachmentInfo
- UrlClickEvents
- metagegevens van Email entiteit
-
Alleen-lezen Geavanceerde opsporingstoegang (Email & samenwerkingstabellen): lidmaatschap toegewezen met de URBAC-machtiging Beveiligingsgegevens>>basisgegevens (lezen). Deze machtiging biedt toegang tot:
Email & samenwerkingsmachtigingen in de Microsoft Defender-portal: Lidmaatschap van een van de volgende Email & Samenwerkingsrolgroepen biedt toegang tot e-mailgegevenstabellen in Geavanceerde opsporing:
- Beveiligingsbeheerder
- Beveiligingsoperator
- Beveiligingslezer
Exchange Online machtigingen: voor toegang tot Exchange Online gegevens die in Geavanceerde opsporing worden weergegeven, moeten gebruikers lid zijn van een van de volgende Exchange Online rolgroepen:
- Organisatiebeheer alleen weergeven
- Configuratie alleen weergeven
- Beveiligingslezer
- Globale lezer
Microsoft Entra machtigingen: lidmaatschap van een van de volgende Microsoft Entra rollen verleent volledige leestoegang tot alle Advanced Hunting-gegevens:
- Hoofdbeheerder
- Beveiligingsbeheerder
- Beveiligingslezer
- Globale lezer
Uw toegang tot eindpuntgegevens wordt ook bepaald door RBAC-instellingen (op rollen gebaseerd toegangsbeheer) in Microsoft Defender voor Eindpunt. Zie Toegang tot Microsoft Defender XDR beheren met Microsoft Entra globale rollen voor meer informatie.
Nieuwheid van gegevens en frequentie bijwerken
Geavanceerde opsporingsgegevens vallen in twee verschillende typen, elk met een ander consolidatieproces.
Gebeurtenis- of activiteitsgegevens
Gebeurtenis- of activiteitsgegevens vullen tabellen over waarschuwingen, beveiligingsevenementen, systeemevenementen en routine-evaluaties. Geavanceerde opsporing ontvangt deze gegevens vrijwel direct nadat de sensoren die ze verzamelen deze met succes naar de bijbehorende cloudservices hebben verzonden. U kunt bijvoorbeeld query's uitvoeren op gebeurtenisgegevens van gezonde sensoren op werkstations of domeincontrollers, bijna direct nadat ze beschikbaar zijn op Microsoft Defender voor Eindpunt en Microsoft Defender for Identity.
Als u nog meer gebeurteniseigenschappen wilt verzamelen, kunt u geaggregeerde rapportage inschakelen.
Entiteitsgegevens
Entiteitsgegevens vullen tabellen met informatie over gebruikers en apparaten. Deze gegevens zijn afkomstig van zowel relatief statische gegevensbronnen als dynamische bronnen, zoals Active Directory-vermeldingen en gebeurtenislogboeken. Om nieuwe gegevens te bieden, worden tabellen elk uur bijgewerkt om een record in te voegen die de meest recente, meest uitgebreide gegevensset over elke entiteit bevat, inclusief andere nuttige informatie, zoals status en tags.
Quota en gebruiksparameters
Om de service performant en responsief te houden, stelt geavanceerde opsporing verschillende quota en gebruiksparameters (ook wel 'servicelimieten' genoemd) in. Deze quota en parameters zijn afzonderlijk van toepassing op query's die handmatig worden uitgevoerd en op query's die worden uitgevoerd met behulp van aangepaste detectieregels. Houd rekening met deze limieten als u regelmatig meerdere query's uitvoert. Pas best practices voor optimalisatie toe om onderbrekingen te minimaliseren.
Raadpleeg de volgende tabel voor meer informatie over bestaande quota en gebruiksparameters.
| Quotum of parameter | Grootte | Vernieuwingscyclus | Beschrijving |
|---|---|---|---|
| Datumbereik | 30 dagen voor Defender XDR gegevens, tenzij gestreamd via Microsoft Sentinel | Elke query | Elke query kan Defender XDR gegevens opzoeken van de afgelopen 30 dagen, of langer als ze worden gestreamd via Microsoft Sentinel |
| Resultatenset | 100.000 rijen | Elke query | Elke query kan maximaal 100.000 records retourneren. |
| Timeout | 10 minuten | Elke query | Elke query kan maximaal 10 minuten worden uitgevoerd. Als de service niet binnen 10 minuten wordt voltooid, wordt er een fout weergegeven. |
| CPU-resources | Op basis van tenantgrootte | Elke 15 minuten | De portal geeft een waarschuwing weer wanneer een query wordt uitgevoerd en de tenant meer dan 10% van de toegewezen resources verbruikt. Query's worden geblokkeerd als de tenant 100% bereikt tot na de volgende cyclus van 15 minuten. |
| Limiet voor de grootte van resultaten | 64 MB | Elke query | De limiet voor de totale grootte van de resultatengegevens, die niet alleen verwijst naar het aantal records. Factoren zoals het aantal kolommen, gegevenstypen en veldlengten dragen ook bij aan de grootte van het resultaat. Als het queryresultaat de limiet van 64 MB overschrijdt, retourneert de portal het maximale aantal records dat binnen deze limiet kan worden uitgevoerd en wordt een bericht weergegeven waarin wordt aangegeven dat de weergegeven resultaten gedeeltelijk zijn vanwege groottebeperkingen. |
In de geïntegreerde Microsoft Defender-portal kunt u query's uitvoeren via Microsoft Sentinel tabellen door een werkruimte te onboarden. Daarom zijn er ook limieten voor Log Analytics-werkruimten van toepassing.
Opmerking
Er is een afzonderlijke set quota en parameters van toepassing op geavanceerde opsporingsquery's die worden uitgevoerd via de API. Meer informatie over geavanceerde opsporings-API's
Tijdzone
Query's
Geavanceerde opsporing maakt gebruik van UTC (Universal Time Coordinated) voor alle gegevens.
Schrijf query's in UTC.
Resultaten
Microsoft Defender XDR converteert geavanceerde opsporingsresultaten naar de tijdzone die u hebt ingesteld.
Als u de retentie van 30 dagen voor geavanceerde opsporing wilt uitbreiden, gebruikt u Streaming-API's
Als u de retentie van 30 dagen voor geavanceerde opsporing wilt verlengen, raadpleegt u de volgende bronnen:
- Microsoft Defender XDR Streaming-API
- api voor het streamen van onbewerkte gegevens Microsoft Defender voor Eindpunt
Opmerking
Gegevensretentie begint vanaf de eerste dag dat u de streaming-API implementeert en inschakelt.
Verwante onderwerpen
- Kiezen tussen begeleide en geavanceerde opsporingsmodi
- Opsporingsquery's bouwen met behulp van de begeleide modus
- De querytaal leren
- Meer informatie over het schema
- Microsoft Graph-beveiligings-API
- Overzicht van aangepaste detectie
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.