Udostępnij za pośrednictwem


Wybierz tryby z przewodnikiem i zaawansowane do wyszukiwania w Microsoft Defender XDR

Dotyczy:

  • Microsoft Defender XDR

Zaawansowaną stronę wyszukiwania zagrożeń można znaleźć, przechodząc do lewego paska nawigacyjnego w Microsoft Defender XDR i wybierając pozycję Zaawansowanewyszukiwanie zagrożeń.> Jeśli pasek nawigacyjny jest zwinięty, wybierz ikonę wyszukiwania zagrożeń.

Na stronie zaawansowanego wyszukiwania zagrożeń obsługiwane są dwa tryby:

  • Tryb z przewodnikiem — wykonywanie zapytań przy użyciu konstruktora zapytań
  • Tryb zaawansowany — wykonywanie zapytań przy użyciu edytora zapytań przy użyciu język zapytań Kusto (KQL)

Główną różnicą między tymi dwoma trybami jest to, że tryb z przewodnikiem nie wymaga, aby łowca znał KQL do wykonywania zapytań dotyczących bazy danych, podczas gdy tryb zaawansowany wymaga wiedzy KQL.

Tryb z przewodnikiem zawiera konstruktora zapytań, który ma łatwy w użyciu, wizualny styl bloków konstrukcyjnych konstruowania zapytań za pomocą menu rozwijanych zawierających dostępne filtry i warunki. Aby użyć trybu z przewodnikiem, zobacz Wprowadzenie do trybu wyszukiwania zagrożeń z przewodnikiem.

Tryb zaawansowany zawiera obszar edytora zapytań, w którym użytkownicy mogą tworzyć zapytania od podstaw. Aby użyć trybu zaawansowanego, zobacz Wprowadzenie do zaawansowanego trybu wyszukiwania zagrożeń.

Wprowadzenie do trybu wyszukiwania zagrożeń z przewodnikiem

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Po otwarciu zaawansowanej strony wyszukiwania zagrożeń po raz pierwszy po udostępnieniu wyszukiwania z przewodnikiem możesz skorzystać z przewodnika, aby dowiedzieć się więcej o różnych częściach strony, takich jak karty i obszary zapytań.

Aby skorzystać z przewodnika, wybierz pozycję Przejrzyj, gdy pojawi się ten baner:

baner zapraszający użytkownika do udziału w przewodniku

Postępuj zgodnie z niebieskimi bąbelkami nauczania wyświetlanymi na całej stronie i wybierz pozycję Dalej , aby przejść z jednego kroku do następnego.

Możesz ponownie skorzystać z przewodnika w dowolnym momencie, przechodząc do pozycji Zasoby> pomocyDowiedz się więcej i wybierając pozycję Weź udział w przewodniku.

Zrzut ekranu przedstawiający zasoby pomocy

Następnie możesz rozpocząć tworzenie zapytania w celu wyszukiwania zagrożeń. Poniższe artykuły mogą pomóc w maksymalnym użyciu wyszukiwania zagrożeń w trybie z przewodnikiem:

Cel szkoleniowy Opis Zasób
Tworzenie pierwszego zapytania Poznaj podstawy konstruktora zapytań, takie jak określanie domeny danych oraz dodawanie warunków i filtrów ułatwiających utworzenie znaczącego zapytania. Dowiedz się więcej, uruchamiając przykładowe zapytania. Tworzenie zapytań wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem
Poznaj różne możliwości konstruktora zapytań Poznaj różne obsługiwane typy danych i możliwości trybu z przewodnikiem, aby ułatwić dostosowanie zapytania zgodnie z potrzebami. Uściślanie zapytania w trybie z przewodnikiem
Dowiedz się, co można zrobić z wynikami zapytania Zapoznaj się z widokiem Wyniki i tym, co możesz zrobić z wygenerowanymi wynikami, takimi jak sposób podejmowania działań na ich podstawie lub łączenie ich ze zdarzeniem. - Praca z wynikami zapytania w trybie z przewodnikiem
- Wykonywanie akcji w wynikach zapytania
- Łączenie wyników zapytania ze zdarzeniem
Twórca niestandardowych reguł wykrywania Dowiedz się, jak za pomocą zaawansowanych zapytań wyszukiwania zagrożeń wyzwalać alerty i automatycznie podejmować akcje reagowania. - Omówienie wykrywania niestandardowego
- Niestandardowe reguły wykrywania

Wprowadzenie do zaawansowanego trybu wyszukiwania zagrożeń

Zalecamy wykonanie tych kroków w celu szybkiego rozpoczęcia zaawansowanego wyszukiwania zagrożeń:

Cel szkoleniowy Opis Zasób
Nauka języka Zaawansowane wyszukiwanie zagrożeń opiera się na języku zapytań Kusto, który obsługuje tę samą składnię i operatory. Rozpocznij naukę języka zapytań, uruchamiając pierwsze zapytanie. Omówienie języka zapytań
Dowiedz się, jak używać wyników zapytania Dowiedz się więcej o wykresach i różnych sposobach wyświetlania lub eksportowania wyników. Dowiedz się, jak szybko dostosować zapytania, przejść do szczegółów, aby uzyskać bogatsze informacje i podjąć akcje odpowiedzi. - Praca z wynikami zapytania w trybie zaawansowanym
- Wykonywanie akcji w wynikach zapytania
- Łączenie wyników zapytania ze zdarzeniem
Analiza schematu Uzyskaj dobrą, ogólną wiedzę na temat tabel w schemacie i ich kolumnach. Dowiedz się, gdzie szukać danych podczas konstruowania zapytań. - Dokumentacja schematu
- Przejście z Ochrona punktu końcowego w usłudze Microsoft Defender
Uzyskiwanie porad i przykładów ekspertów Trenowanie bezpłatnie za pomocą przewodników od ekspertów firmy Microsoft. Eksploruj kolekcje wstępnie zdefiniowanych zapytań obejmujących różne scenariusze wyszukiwania zagrożeń. - Uzyskiwanie szkoleń ekspertów
- Używanie zapytań udostępnionych
- Go hunt
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
Optymalizowanie zapytań i obsługa błędów Dowiedz się, jak tworzyć wydajne i wolne od błędów zapytania. - Najlepsze rozwiązania dotyczące zapytań
- Obsługa błędów
Twórca niestandardowych reguł wykrywania Dowiedz się, jak za pomocą zaawansowanych zapytań wyszukiwania zagrożeń wyzwalać alerty i automatycznie podejmować akcje reagowania. - Omówienie wykrywania niestandardowego
- Niestandardowe reguły wykrywania

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.