Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender
Расширенная охота — это средство охоты на угрозы на основе запросов, которое позволяет просматривать необработанные данные на срок до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.
Расширенная охота поддерживает два режима: интерактивный и расширенный. Используйте интерактивный режим, если вы еще не знакомы с язык запросов Kusto (KQL) или предпочитаете удобство построителя запросов. Используйте расширенный режим , если вам удобно использовать KQL для создания запросов с нуля.
Чтобы начать охоту, ознакомьтесь с разделом Выбор между интерактивным и расширенным режимами охоты на портале Microsoft Defender.
Вы можете использовать одни и те же запросы охоты на угрозы для создания настраиваемых правил обнаружения. Эти правила выполняются автоматически, чтобы проверка для, а затем реагировать на предполагаемые действия нарушения, неправильно настроенные компьютеры и другие результаты.
Расширенная охота поддерживает запросы, которые проверка более широкий набор данных, поступающий из:
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender для удостоверений
- Microsoft Sentinel
Чтобы использовать расширенную охоту, включите Microsoft Defender XDR. Или, чтобы использовать расширенную охоту с Microsoft Sentinel, подключите Microsoft Sentinel к порталу Defender.
Дополнительные сведения о расширенной охоте в Microsoft Defender for Cloud Apps данных см. в видео.
Получение доступа
Чтобы использовать расширенную охоту или другие возможности Microsoft Defender XDR, вам нужна соответствующая роль в Microsoft Entra ID. Узнайте о необходимых ролях и разрешениях для расширенного поиска.
Кроме того, доступ к данным конечной точки определяется параметрами управления доступом на основе ролей (RBAC) в Microsoft Defender для конечной точки. Узнайте об управлении доступом к Microsoft Defender XDR.
Актуальность данных и частота обновления
Данные расширенной охоты можно разделить на два типа, каждый из которых консолидирован по-разному.
- Данные о событиях или действиях— заполняют таблицы оповещениями, событиями безопасности, системными событиями и регулярными оценками. Расширенная охота на угрозы получает эти данные практически сразу после того, как датчики, собирающие такие данные, успешно передают их в соответствующие облачные службы. Например, можно запрашивать данные о событиях с работоспособных датчиков на рабочих станциях или контроллерах домена практически сразу после того, как они будут доступны на Microsoft Defender для конечной точки и Microsoft Defender для удостоверений.
- Данные сущности заполняют таблицы сведениями о пользователях и устройствах. Эти данные получены как из относительно статических источников данных, так и из динамических источников, таких как записи Active Directory и журналы событий. Чтобы предоставлять свежие данные, таблицы обновляются новыми сведениями каждые 15 минут, добавляя строки, которые могут быть заполнены не полностью. Каждые 24 часа данные объединяются для добавления записи, содержащей самый последний и наиболее полный набор данных о каждом объекте.
Часовой пояс
Запросы
Расширенные данные охоты используют часовой пояс UTC (universal Time Coordinated).
Запросы должны создаваться в формате UTC.
Результаты
Расширенные результаты охоты преобразуются в часовой пояс, заданный в Microsoft Defender XDR.
Статьи по теме
- Выбор между интерактивным и расширенным режимами охоты
- Создание запросов охоты в интерактивном режиме
- Изучение языка запросов
- Сведения о схеме
- API безопасности Microsoft Graph
- Обзор настраиваемых обнаружений
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.