Использование общих запросов в расширенной охоте

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Запросами расширенной охоты можно делиться с пользователями одной организации. Вы также можете сохранять запросы, доступные только вам. Вы также можете найти запросы сообщества, общедоступные на GitHub. Эти сохраненные запросы позволяют быстро реализовать конкретные сценарии охоты на угрозы без необходимости писать запросы с нуля.

На вкладке Запросы в расширенной охоте можно найти раскрывающееся меню общих запросов, Мои запросы и Запросы сообщества. Вы можете щелкнуть стрелку вниз, чтобы развернуть меню.

Сохранение и изменение запроса и предоставление к нему общего доступа

Вы можете сохранить новый или существующий запрос, чтобы он был доступен только вам, или поделиться им с пользователями своей организации.

1. Создание или изменение запроса

2. Нажмите разворачивающуюся кнопку Сохранить запрос и выберите параметр Сохранить как.

3. Введите имя запроса.

   

4. Выберите папку, в которую нужно сохранить запрос.

   • Общие запросы — общие для всех пользователей вашей организации
   • Мои запросы — доступны только для вас

5. Нажмите кнопку Сохранить.

Удаление или переименование запроса

1. Выделите три точки справа от запроса, который нужно переименовать или удалить.

   

2. Нажмите кнопку Удалить и подтвердите удаление. Или нажмите кнопку Переименовать и введите новое имя запроса.

Создание прямой ссылки на запрос

Чтобы создать ссылку, которая открывает запрос непосредственно в расширенном редакторе запросов охоты, завершите запрос и выберите Поделиться ссылкой.

Доступ к запросам сообщества в репозитории GitHub

Исследователи безопасности Майкрософт часто делятся запросами расширенной охоты в специальном общедоступном репозитории в GitHub. Вклады в этот репозиторий проверяются перед публикацией. Чтобы внести свой вклад, бесплатно присоединяйтесь к GitHub.

Эти запросы можно легко найти в раскрывающемся меню Запросы сообщества .

Запросы сообщества группируются в такие папки, как Кампании, Коллекция, Уклонение от защиты и т.. Дополнительные сведения о запросе предоставляются в виде встроенных комментариев в самом запросе.

Совет

Исследователи безопасности Майкрософт также предоставляют запросы расширенной охоты, которые можно использовать для обнаружения действий и индикаторов, связанных с возникающими угрозами. Эти запросы предоставляются как часть отчетов аналитики угроз в Microsoft Defender XDR.

Статьи по теме

• Обзор расширенной охоты
• Изучение языка запросов
• Работа с результатами запросов
• Охота на различных устройствах, в письмах, приложениях и удостоверениях
• Сведения о схеме
• Применение рекомендаций по использованию запросов

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.