Escolha entre modos guiados e avançados para caçar em Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Você pode encontrar a página de caça avançada acessando a barra de navegação à esquerda em Microsoft Defender XDR e selecionando Caça>avançada à caça. Se a barra de navegação for recolhida, selecione o 
.
Na página de caça avançada , há suporte para dois modos:
- Modo guiado – para consultar usando o construtor de consultas
- Modo avançado – para consultar usando o editor de consultas usando Linguagem de Consulta Kusto (KQL)
A main diferença entre os dois modos é que o modo guiado não exige que o caçador saiba KQL para consultar o banco de dados, enquanto o modo avançado requer conhecimento KQL.
O modo guiado apresenta um construtor de consultas que tem um estilo fácil de usar, visual e de bloco de construção de construção de consultas por meio de menus suspensos que contêm filtros e condições disponíveis. Para usar o modo guiado, consulte Introdução ao modo de caça guiado.
O modo avançado apresenta uma área de editor de consultas em que os usuários podem criar consultas do zero. Para usar o modo avançado, consulte Introdução ao modo de caça avançado.
Introdução ao modo de caça guiado
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Quando você abre a página de caça avançada pela primeira vez depois que a caça guiada é disponibilizada para você, você é convidado a fazer o tour para saber mais sobre as diferentes partes da página, como as guias e as áreas de consulta.
Para fazer o tour, selecione Fazer tour quando esta faixa for exibida:
Siga as bolhas de ensino azuis que aparecem em toda a página e selecione Avançar para passar de uma etapa para a próxima.
Você pode fazer o tour novamente a qualquer momento acessando recursos> de ajudaSaiba mais e selecionando Fazer o tour.
Em seguida, você pode começar a criar sua consulta para procurar ameaças. Os artigos a seguir podem ajudá-lo a aproveitar ao máximo a caça no modo guiado:
| Meta de aprendizagem | Descrição | Recurso |
|---|---|---|
| Criar sua primeira consulta | Aprenda os conceitos básicos do construtor de consultas, como especificar o domínio de dados e adicionar condições e filtros para ajudá-lo a criar uma consulta significativa. Saiba mais executando consultas de exemplo. | Criar consultas de caça usando o modo guiado |
| Conheça as diferentes funcionalidades do construtor de consultas | Conheça os diferentes tipos de dados compatíveis e os recursos de modo guiado para ajudá-lo a ajustar sua consulta de acordo com suas necessidades. | Refinar sua consulta no modo guiado |
| Saiba o que você pode fazer com os resultados da consulta | Familiarize-se com a exibição Resultados e o que você pode fazer com os resultados gerados, como agir sobre eles ou vinculá-los a um incidente. | - Trabalhar com os resultados da consulta no modo guiado - Tomar medidas sobre os resultados da consulta - Vincular resultados de consulta a um incidente |
| Create regras de detecção personalizadas | Entenda como você pode usar as consultas de busca avançada de ameaças para acionar alertas e executar ações de resposta automaticamente. | - Visão geral das detecções personalizadas - Regras de detecção personalizadas |
Introdução ao modo avançado de caça
Recomendamos passar por estas etapas para começar rapidamente com a caça avançada:
| Meta de aprendizagem | Descrição | Recurso |
|---|---|---|
| Aprender o idioma | A busca avançada de ameaças é baseada na linguagem da consulta Kusto, suportando a mesma sintaxe e operadores. Comece a aprender a linguagem de consulta executando a primeira consulta. | Visão geral sobre a linguagem de consulta |
| Saiba como usar os resultados da consulta | Saiba mais sobre os gráficos e as várias maneiras de exibir ou exportar seus resultados. Explore como você pode ajustar rapidamente as consultas, fazer drill down para obter informações mais detalhadas e executar ações de resposta. | - Trabalhar com resultados de consulta no modo avançado - Tomar medidas sobre os resultados da consulta - Vincular resultados de consulta a um incidente |
| Compreender o esquema | Obtenha uma compreensão de alto nível das tabelas no esquema e em suas colunas. Saiba onde procurar por dados ao criar suas consultas. | - Referência de esquema - Transição de Microsoft Defender para Ponto de Extremidade |
| Obter dicas e exemplos de especialistas | Treine gratuitamente com guias dos especialistas da Microsoft. Explore coleções de consultas predefinidas que abrangem diferentes cenários de exploração de ameaças. | - Obter treinamento de especialista - Usar consultas compartilhadas - Ir caçar - Procurar ameaças entre dispositivos, emails, aplicativos e identidades |
| Otimizar consultas e manipular erros | Entenda como criar consultas eficientes e sem erros. | - Práticas recomendadas de consulta - Manipular erros |
| Create regras de detecção personalizadas | Entenda como você pode usar as consultas de busca avançada de ameaças para acionar alertas e executar ações de resposta automaticamente. | - Visão geral das detecções personalizadas - Regras de detecção personalizadas |
Confira também
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de