Профилактическое выслеживание угроз с помощью расширенной охоты в Microsoft 365 Defender
Примечание.
Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценивать и пилотно Microsoft 365 Defender.
Область применения:
- Microsoft 365 Defender
Расширенная охота — это средство охоты на угрозы на основе запросов, которое позволяет просматривать необработанные данные на срок до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.
Расширенная охота поддерживает два режима: интерактивный и расширенный. Используйте интерактивный режим, если вы еще не знакомы с язык запросов Kusto (KQL) или предпочитаете удобство построителя запросов. Используйте расширенный режим , если вам удобно использовать KQL для создания запросов с нуля.
Чтобы начать охоту, ознакомьтесь с разделом Выбор интерактивного и расширенного режимов охоты в Microsoft 365 Defender.
Вы можете использовать те же запросы охоты на угрозы для создания настраиваемых правил обнаружения. Эти правила выполняются автоматически, чтобы проверить наличие и затем реагировать на предполагаемые действия нарушения безопасности, неправильно настроенные компьютеры и другие результаты.
Расширенная охота поддерживает запросы, которые проверяют более широкий набор данных, поступающий из:
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender для удостоверений
Чтобы использовать расширенную охоту, включите Microsoft 365 Defender.
Дополнительные сведения о расширенной охоте в Microsoft Defender for Cloud Apps данных см. в видео.
Получение доступа
Чтобы использовать расширенную охоту или другие возможности Microsoft 365 Defender, вам потребуется соответствующая роль в Azure Active Directory. Узнайте о необходимых ролях и разрешениях для расширенной охоты.
Кроме того, доступ к данным конечной точки определяется параметрами управления доступом на основе ролей (RBAC) в Microsoft Defender для конечной точки. Ознакомьтесь с управлением доступом к Microsoft 365 Defender.
Актуальность данных и частота обновления
Данные расширенной охоты можно разделить на два типа, каждый из которых консолидирован по-разному.
- Данные о событиях или действиях— заполняют таблицы оповещениями, событиями безопасности, системными событиями и регулярными оценками. Расширенная охота на угрозы получает эти данные практически сразу после того, как датчики, собирающие такие данные, успешно передают их в соответствующие облачные службы. Например, можно запрашивать данные о событиях с работоспособных датчиков на рабочих станциях или контроллерах домена практически сразу после того, как они будут доступны на Microsoft Defender для конечной точки и Microsoft Defender для удостоверений.
- Данные сущности заполняют таблицы сведениями о пользователях и устройствах. Эти данные получены как из относительно статических источников данных, так и из динамических источников, таких как записи Active Directory и журналы событий. Чтобы предоставлять свежие данные, таблицы обновляются новыми сведениями каждые 15 минут, добавляя строки, которые могут быть заполнены не полностью. Каждые 24 часа данные объединяются для добавления записи, содержащей самый последний и наиболее полный набор данных о каждом объекте.
Часовой пояс
Запросы
Расширенные данные охоты используют часовой пояс UTC (universal Time Coordinated).
Запросы должны создаваться в формате UTC.
Результаты
Расширенные результаты охоты преобразуются в часовой пояс, заданный в Microsoft 365 Defender.