Caçar proativamente ameaças com caça avançada em Microsoft Defender XDR

Observação

Quer experimentar Microsoft Defender XDR? Saiba mais sobre como você pode avaliar e pilotar Microsoft Defender XDR.

Aplica-se a:

  • Microsoft Defender XDR

A caça avançada é uma ferramenta de busca de ameaças baseada em consulta que permite explorar até 30 dias de dados brutos. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais.

A caça avançada dá suporte a dois modos, guiados e avançados. Use o modo guiado se ainda não estiver familiarizado com Linguagem de Consulta Kusto (KQL) ou preferir a conveniência de um construtor de consultas. Use o modo avançado se você estiver confortável usando o KQL para criar consultas do zero.

Para começar a caçar, leia Escolher entre modos guiados e avançados para caçar em Microsoft Defender XDR.

Você pode usar as mesmas consultas de caça a ameaças para criar regras de detecção personalizadas. Essas regras são executadas automaticamente para marcar e, em seguida, respondem a atividades suspeitas de violação, computadores mal configurados e outras descobertas.

A caça avançada dá suporte a consultas que marcar um conjunto de dados mais amplo proveniente de:

  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Identidade

Para usar a caça avançada, ative Microsoft Defender XDR.

Para obter mais informações sobre a caça avançada em Microsoft Defender para Aplicativos de Nuvem dados, confira o vídeo.

Obter acesso

Para usar a caça avançada ou outras funcionalidades de Microsoft Defender XDR, você precisa de uma função apropriada em Microsoft Entra ID. Leia sobre as funções e permissões necessárias para a caça avançada.

Além disso, o acesso aos dados do ponto de extremidade é determinado por configurações de RBAC (controle de acesso baseado em função) em Microsoft Defender para Ponto de Extremidade. Leia sobre como gerenciar o acesso a Microsoft Defender XDR.

Atualização de dados e frequência de atualização

Os dados de busca avançada podem ser categorizados em dois tipos distintos, cada um consolidado de forma diferente.

  • Dados de evento ou atividade— preenche tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações de rotina. A busca avançada recebe esses dados quase imediatamente depois que os sensores que os coletam os transmitem para os serviços de nuvem correspondentes. Por exemplo, você pode consultar dados de eventos de sensores saudáveis em estações de trabalho ou controladores de domínio quase imediatamente depois que eles estiverem disponíveis em Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Identidade.
  • Dados da entidade : preenche tabelas com informações sobre usuários e dispositivos. Esses dados vêm de fontes de dados relativamente estáticas e fontes dinâmicas, como entradas do Active Directory e logs de eventos. Para fornecer dados atualizados, as tabelas são atualizadas com novas informações a cada 15 minutos, adicionando linhas que podem não estar totalmente preenchidas. A cada 24 horas, os dados são consolidados para inserir um registro que contém o conjunto de dados mais recente e mais abrangente sobre cada entidade.

Fuso horário

Consultas

Dados avançados de caça usam o fuso horário UTC (Universal Time Coordinated). Captura de tela do intervalo de tempo personalizado.

As consultas devem ser criadas em UTC.

Resultados

Os resultados avançados de caça são convertidos no fuso horário definido em Microsoft Defender XDR.

Dica

Você deseja aprender mais? Envolva-se com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Comunidade Tecnológica.