Używanie zapytań udostępnionych w zaawansowanym wyszukiwaniu zagrożeń

  • Artykuł

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender

Zaawansowane zapytania dotyczące wyszukiwania zagrożeń mogą być udostępniane użytkownikom w tej samej organizacji. Możesz również zapisywać zapytania, które są dostępne tylko dla Ciebie. Możesz również znaleźć zapytania społeczności, które są udostępniane publicznie w usłudze GitHub. Te zapisane zapytania umożliwiają szybkie realizowanie konkretnych scenariuszy wyszukiwania zagrożeń bez konieczności pisania zapytań od podstaw.

Na karcie Zapytania w zaawansowanym wyszukiwaniu można znaleźć menu rozwijane dla zapytań udostępnionych, moje zapytania i zapytania społeczności. Możesz wybrać strzałkę skierowaną w dół, aby rozwinąć menu.

Zapytania udostępnione, moje zapytania i zapytania społeczności w portalu Microsoft 365 Defender

Zapisywanie, modyfikowanie i udostępnianie zapytania

Możesz zapisać nowe lub istniejące zapytanie, aby było dostępne tylko dla Ciebie lub udostępnione innym użytkownikom w organizacji.

  1. Utwórz lub zmodyfikuj zapytanie.

  2. Kliknij przycisk listy rozwijanej Zapisz zapytanie i wybierz pozycję Zapisz jako.

  3. Wprowadź nazwę zapytania.

    Nowe zapytanie, które ma zostać zapisane w portalu Microsoft 365 Defender

  4. Wybierz folder, w którym chcesz zapisać zapytanie.

    • Zapytania udostępnione — udostępnione wszystkim użytkownikom w organizacji
    • Moje zapytania — dostępne tylko dla Ciebie

  5. Wybierz Zapisz.

Usuwanie lub zmienianie nazwy zapytania

  1. Wybierz trzy kropki po prawej stronie zapytania, które chcesz zmienić lub usunąć.

    Zmienianie nazwy lub usuwanie zapytania na stronie Zaawansowane wyszukiwanie zagrożeń w portalu Microsoft 365 Defender

  2. Wybierz pozycję Usuń i potwierdź usunięcie. Możesz też wybrać pozycję Zmień nazwę i podaj nową nazwę zapytania.

Aby wygenerować link, który otwiera zapytanie bezpośrednio w edytorze zaawansowanych zapytań wyszukiwania zagrożeń, sfinalizuj zapytanie i wybierz pozycję Udostępnij link.

Uzyskiwanie dostępu do zapytań społeczności w repozytorium GitHub

Microsoft badacze zabezpieczeń regularnie udostępniają zaawansowane zapytania dotyczące wyszukiwania zagrożeń w wyznaczonym repozytorium publicznym w witrynie GitHub. Udziały w tym repozytorium są przeglądane przed opublikowaniem. Aby współtworzyć zawartość, dołącz bezpłatnie do usługi GitHub.

Te zapytania można łatwo znaleźć również w menu rozwijanym Zapytania społeczności .

Zapytania społeczności zorganizowane według folderów w portalu Microsoft 365 Defender

Zapytania społeczności są pogrupowane w foldery, takie jak Kampanie, Kolekcja, Uchylanie się od obrony i tym podobne. Dalsze informacje na temat zapytania są udostępniane jako komentarze w wierszu w samym zapytaniu.

Porada

Microsoft badacze zabezpieczeń udostępniają również zaawansowane zapytania dotyczące zagrożeń, których można użyć do lokalizowania działań i wskaźników związanych z pojawiającym się zagrożeniami. Te zapytania są udostępniane w ramach raportów analizy zagrożeń w Microsoft 365 Defender.