Wybierz tryby z przewodnikiem i zaawansowane do wyszukiwania w Microsoft Defender XDR
Dotyczy:
- Microsoft Defender XDR
Zaawansowaną stronę wyszukiwania zagrożeń można znaleźć, przechodząc do lewego paska nawigacyjnego w Microsoft Defender XDR i wybierając pozycję Zaawansowanewyszukiwanie zagrożeń.> Jeśli pasek nawigacyjny jest zwinięty, wybierz .
Na stronie zaawansowanego wyszukiwania zagrożeń obsługiwane są dwa tryby:
- Tryb z przewodnikiem — wykonywanie zapytań przy użyciu konstruktora zapytań
- Tryb zaawansowany — wykonywanie zapytań przy użyciu edytora zapytań przy użyciu język zapytań Kusto (KQL)
Główną różnicą między tymi dwoma trybami jest to, że tryb z przewodnikiem nie wymaga, aby łowca znał KQL do wykonywania zapytań dotyczących bazy danych, podczas gdy tryb zaawansowany wymaga wiedzy KQL.
Tryb z przewodnikiem zawiera konstruktora zapytań, który ma łatwy w użyciu, wizualny styl bloków konstrukcyjnych konstruowania zapytań za pomocą menu rozwijanych zawierających dostępne filtry i warunki. Aby użyć trybu z przewodnikiem, zobacz Wprowadzenie do trybu wyszukiwania zagrożeń z przewodnikiem.
Tryb zaawansowany zawiera obszar edytora zapytań, w którym użytkownicy mogą tworzyć zapytania od podstaw. Aby użyć trybu zaawansowanego, zobacz Wprowadzenie do zaawansowanego trybu wyszukiwania zagrożeń.
Wprowadzenie do trybu wyszukiwania zagrożeń z przewodnikiem
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Po otwarciu zaawansowanej strony wyszukiwania zagrożeń po raz pierwszy po udostępnieniu wyszukiwania z przewodnikiem możesz skorzystać z przewodnika, aby dowiedzieć się więcej o różnych częściach strony, takich jak karty i obszary zapytań.
Aby skorzystać z przewodnika, wybierz pozycję Przejrzyj, gdy pojawi się ten baner:
Postępuj zgodnie z niebieskimi bąbelkami nauczania wyświetlanymi na całej stronie i wybierz pozycję Dalej , aby przejść z jednego kroku do następnego.
Możesz ponownie skorzystać z przewodnika w dowolnym momencie, przechodząc do pozycji Zasoby> pomocyDowiedz się więcej i wybierając pozycję Weź udział w przewodniku.
Następnie możesz rozpocząć tworzenie zapytania w celu wyszukiwania zagrożeń. Poniższe artykuły mogą pomóc w maksymalnym użyciu wyszukiwania zagrożeń w trybie z przewodnikiem:
Cel szkoleniowy | Opis | Zasób |
---|---|---|
Tworzenie pierwszego zapytania | Poznaj podstawy konstruktora zapytań, takie jak określanie domeny danych oraz dodawanie warunków i filtrów ułatwiających utworzenie znaczącego zapytania. Dowiedz się więcej, uruchamiając przykładowe zapytania. | Tworzenie zapytań wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem |
Poznaj różne możliwości konstruktora zapytań | Poznaj różne obsługiwane typy danych i możliwości trybu z przewodnikiem, aby ułatwić dostosowanie zapytania zgodnie z potrzebami. | Uściślanie zapytania w trybie z przewodnikiem |
Dowiedz się, co można zrobić z wynikami zapytania | Zapoznaj się z widokiem Wyniki i tym, co możesz zrobić z wygenerowanymi wynikami, takimi jak sposób podejmowania działań na ich podstawie lub łączenie ich ze zdarzeniem. | - Praca z wynikami zapytania w trybie z przewodnikiem - Wykonywanie akcji w wynikach zapytania - Łączenie wyników zapytania ze zdarzeniem |
Twórca niestandardowych reguł wykrywania | Dowiedz się, jak za pomocą zaawansowanych zapytań wyszukiwania zagrożeń wyzwalać alerty i automatycznie podejmować akcje reagowania. | - Omówienie wykrywania niestandardowego - Niestandardowe reguły wykrywania |
Wprowadzenie do zaawansowanego trybu wyszukiwania zagrożeń
Zalecamy wykonanie tych kroków w celu szybkiego rozpoczęcia zaawansowanego wyszukiwania zagrożeń:
Cel szkoleniowy | Opis | Zasób |
---|---|---|
Nauka języka | Zaawansowane wyszukiwanie zagrożeń opiera się na języku zapytań Kusto, który obsługuje tę samą składnię i operatory. Rozpocznij naukę języka zapytań, uruchamiając pierwsze zapytanie. | Omówienie języka zapytań |
Dowiedz się, jak używać wyników zapytania | Dowiedz się więcej o wykresach i różnych sposobach wyświetlania lub eksportowania wyników. Dowiedz się, jak szybko dostosować zapytania, przejść do szczegółów, aby uzyskać bogatsze informacje i podjąć akcje odpowiedzi. | - Praca z wynikami zapytania w trybie zaawansowanym - Wykonywanie akcji w wynikach zapytania - Łączenie wyników zapytania ze zdarzeniem |
Analiza schematu | Uzyskaj dobrą, ogólną wiedzę na temat tabel w schemacie i ich kolumnach. Dowiedz się, gdzie szukać danych podczas konstruowania zapytań. | - Dokumentacja schematu - Przejście z Ochrona punktu końcowego w usłudze Microsoft Defender |
Uzyskiwanie porad i przykładów ekspertów | Trenowanie bezpłatnie za pomocą przewodników od ekspertów firmy Microsoft. Eksploruj kolekcje wstępnie zdefiniowanych zapytań obejmujących różne scenariusze wyszukiwania zagrożeń. | - Uzyskiwanie szkoleń ekspertów - Używanie zapytań udostępnionych - Go hunt - Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach |
Optymalizowanie zapytań i obsługa błędów | Dowiedz się, jak tworzyć wydajne i wolne od błędów zapytania. | - Najlepsze rozwiązania dotyczące zapytań - Obsługa błędów |
Twórca niestandardowych reguł wykrywania | Dowiedz się, jak za pomocą zaawansowanych zapytań wyszukiwania zagrożeń wyzwalać alerty i automatycznie podejmować akcje reagowania. | - Omówienie wykrywania niestandardowego - Niestandardowe reguły wykrywania |
Zobacz też
- Analiza schematu
- Tworzenie zapytań wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem
- Nauka języka zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.