Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zaawansowaną stronę wyszukiwania zagrożeń można znaleźć, przechodząc do lewego paska nawigacyjnego w portalu Microsoft Defender i wybierając pozycję Wyszukiwanie>zagrożeń zaawansowanych. Jeśli pasek nawigacyjny jest zwinięty, wybierz 
.
Na stronie zaawansowanego wyszukiwania zagrożeń obsługiwane są dwa tryby:
- Tryb z przewodnikiem — wykonywanie zapytań przy użyciu konstruktora zapytań
- Tryb zaawansowany — wykonywanie zapytań przy użyciu edytora zapytań przy użyciu język zapytań Kusto (KQL)
Główną różnicą między tymi dwoma trybami jest to, że tryb z przewodnikiem nie wymaga, aby łowca znał KQL do wykonywania zapytań dotyczących bazy danych, podczas gdy tryb zaawansowany wymaga wiedzy KQL.
Tryb z przewodnikiem zawiera konstruktora zapytań, który ma łatwy w użyciu, wizualny styl bloków konstrukcyjnych konstruowania zapytań za pomocą menu rozwijanych zawierających dostępne filtry i warunki. Aby użyć trybu z przewodnikiem, zobacz Wprowadzenie do trybu wyszukiwania zagrożeń z przewodnikiem.
Tryb zaawansowany zawiera obszar edytora zapytań, w którym użytkownicy mogą tworzyć zapytania od podstaw. Aby użyć trybu zaawansowanego, zobacz Wprowadzenie do zaawansowanego trybu wyszukiwania zagrożeń.
Wprowadzenie do trybu wyszukiwania zagrożeń z przewodnikiem
Ważna
Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.
Po otwarciu zaawansowanej strony wyszukiwania zagrożeń po raz pierwszy po udostępnieniu wyszukiwania z przewodnikiem możesz skorzystać z przewodnika, aby dowiedzieć się więcej o różnych częściach strony, takich jak karty i obszary zapytań.
Aby skorzystać z przewodnika, wybierz pozycję Przejrzyj, gdy pojawi się ten baner:
Postępuj zgodnie z niebieskimi bąbelkami nauczania wyświetlanymi na całej stronie i wybierz pozycję Dalej , aby przejść z jednego kroku do następnego.
Możesz ponownie skorzystać z przewodnika w dowolnym momencie, przechodząc do pozycji Zasoby> pomocyDowiedz się więcej i wybierając pozycję Weź udział w przewodniku.
Następnie możesz rozpocząć tworzenie zapytania w celu wyszukiwania zagrożeń. Poniższe artykuły mogą pomóc w maksymalnym użyciu wyszukiwania zagrożeń w trybie z przewodnikiem:
| Cel szkoleniowy | Opis | Zasób |
|---|---|---|
| Tworzenie pierwszego zapytania | Poznaj podstawy konstruktora zapytań, takie jak określanie domeny danych oraz dodawanie warunków i filtrów ułatwiających utworzenie znaczącego zapytania. Dowiedz się więcej, uruchamiając przykładowe zapytania. | Tworzenie zapytań wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem |
| Poznaj różne możliwości konstruktora zapytań | Poznaj różne obsługiwane typy danych i możliwości trybu z przewodnikiem, aby ułatwić dostosowanie zapytania zgodnie z potrzebami. | Uściślanie zapytania w trybie z przewodnikiem |
| Dowiedz się, co można zrobić z wynikami zapytania | Zapoznaj się z widokiem Wyniki i tym, co możesz zrobić z wygenerowanymi wynikami, takimi jak sposób podejmowania działań na ich podstawie lub łączenie ich ze zdarzeniem. |
-
Praca z wynikami zapytania w trybie z przewodnikiem - Wykonywanie akcji w wynikach zapytania - Łączenie wyników zapytania ze zdarzeniem |
| Tworzenie niestandardowych reguł wykrywania | Dowiedz się, jak za pomocą zaawansowanych zapytań wyszukiwania zagrożeń wyzwalać alerty i automatycznie podejmować akcje reagowania. |
-
Omówienie wykrywania niestandardowego - Niestandardowe reguły wykrywania |
Wprowadzenie do zaawansowanego trybu wyszukiwania zagrożeń
Zalecamy wykonanie tych kroków w celu szybkiego rozpoczęcia zaawansowanego wyszukiwania zagrożeń:
| Cel szkoleniowy | Opis | Zasób |
|---|---|---|
| Nauka języka | Zaawansowane wyszukiwanie zagrożeń opiera się na języku zapytań Kusto, który obsługuje tę samą składnię i operatory. Rozpocznij naukę języka zapytań, uruchamiając pierwsze zapytanie. | Omówienie języka zapytań |
| Dowiedz się, jak używać wyników zapytania | Dowiedz się więcej o wykresach i różnych sposobach wyświetlania lub eksportowania wyników. Dowiedz się, jak szybko dostosować zapytania, przejść do szczegółów, aby uzyskać bogatsze informacje i podjąć akcje odpowiedzi. |
-
Praca z wynikami zapytania w trybie zaawansowanym - Wykonywanie akcji w wynikach zapytania - Łączenie wyników zapytania ze zdarzeniem |
| Analiza schematu | Uzyskaj dobrą, ogólną wiedzę na temat tabel w schemacie i ich kolumnach. Dowiedz się, gdzie szukać danych podczas konstruowania zapytań. |
-
Dokumentacja schematu - Przejście z Ochrona punktu końcowego w usłudze Microsoft Defender |
| Uzyskiwanie porad i przykładów ekspertów | Trenowanie bezpłatnie za pomocą przewodników od ekspertów firmy Microsoft. Eksploruj kolekcje wstępnie zdefiniowanych zapytań obejmujących różne scenariusze wyszukiwania zagrożeń. |
-
Uzyskiwanie szkoleń ekspertów - Używanie zapytań udostępnionych - Go hunt - Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach |
| Optymalizowanie zapytań i obsługa błędów | Dowiedz się, jak tworzyć wydajne i wolne od błędów zapytania. |
-
Najlepsze rozwiązania dotyczące zapytań - Obsługa błędów |
| Tworzenie niestandardowych reguł wykrywania | Dowiedz się, jak za pomocą zaawansowanych zapytań wyszukiwania zagrożeń wyzwalać alerty i automatycznie podejmować akcje reagowania. |
-
Omówienie wykrywania niestandardowego - Niestandardowe reguły wykrywania |
Zobacz też
- Analiza schematu
- Tworzenie zapytań wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem
- Nauka języka zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.