Dela via

Jaga proaktivt efter hot med avancerad jakt i Microsoft Defender

  • Gäller för: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Avancerad jakt är ett frågebaserat verktyg för hotjakt där du kan utforska upp till 30 dagars rådata. Du kan proaktivt granska händelser i nätverket för att hitta hotindikatorer och entiteter. Den flexibla åtkomsten till data möjliggör obegränsad jakt på både kända och potentiella hot.

Avancerad jakt stöder två lägen, guidade och avancerade. Använd guidat läge om du ännu inte är bekant med Kusto-frågespråk (KQL) eller föredrar bekvämligheten med en frågebyggare. Använd avancerat läge om du är bekväm med att använda KQL för att skapa frågor från grunden.

Börja jaga genom att läsa Välj mellan guidade och avancerade lägen att jaga i Microsoft Defender-portalen.

Du kan använda samma hotjaktfrågor för att skapa anpassade identifieringsregler. Dessa regler körs automatiskt för att söka efter och sedan svara på misstänkt överträdelseaktivitet, felkonfigurerade datorer och andra resultat.

Avancerad jakt stöder frågor som kontrollerar en bredare datauppsättning som kommer från:

  • Microsoft Defender för Endpoint
  • Microsoft Defender för Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Sentinel

Aktivera Microsoft Defender XDR om du vill använda avancerad jakt. Om du vill använda avancerad jakt med Microsoft Sentinel ansluter du Microsoft Sentinel till Defender-portalen.

Mer information om avancerad jakt i Microsoft Defender for Cloud Apps data finns i videon.

Hämta åtkomst

Om du vill använda avancerad jakt eller andra Microsoft Defender XDR funktioner behöver du en lämplig roll i Microsoft Entra-ID. Läs mer om nödvändiga roller och behörigheter för avancerad jakt.

Dessutom bestäms din åtkomst till slutpunktsdata av rbac-inställningar (rollbaserad åtkomstkontroll) i Microsoft Defender för Endpoint. Läs mer om att hantera åtkomst till Microsoft Defender XDR.

Datauppdateringsfrekvens och uppdateringsfrekvens

Avancerade jaktdata kan kategoriseras i två olika typer, var och en konsolideras på olika sätt.

Händelse- eller aktivitetsdata

Händelse- eller aktivitetsdata fyller i tabeller om aviseringar, säkerhetshändelser, systemhändelser och rutinmässiga utvärderingar. Avancerad jakt tar emot dessa data nästan omedelbart efter att sensorerna som samlar in dem framgångsrikt överför dem till motsvarande molntjänster. Du kan till exempel fråga händelsedata från felfria sensorer på arbetsstationer eller domänkontrollanter nästan omedelbart efter att de är tillgängliga på Microsoft Defender för Endpoint och Microsoft Defender för identitet.

Om du vill samla in ännu fler händelseegenskaper kan du aktivera aggregerad rapportering.

Entitetsdata

Entitetsdata fyller tabeller med information om användare och enheter. Dessa data kommer från både relativt statiska datakällor och dynamiska källor, till exempel Active Directory-poster och händelseloggar. För att tillhandahålla nya data uppdateras tabeller varje timme för att infoga en post som innehåller den senaste, mest omfattande datauppsättningen om varje entitet, inklusive annan användbar information som hälsostatus och taggar.

Tidszon

Frågor

Avancerade jaktdata använder tidszonen UTC (Universal Time Coordinated). Skärmbild av anpassat tidsintervall.

Frågor ska skapas i UTC.

Resultat

Avancerade jaktresultat konverteras till tidszonsuppsättningen i Microsoft Defender XDR.

Om du vill förlänga kvarhållningen på 30 dagar för Avancerad jakt kan du använda API:er för direktuppspelning

Om du vill utöka kvarhållningen på 30 dagar för Avancerad jakt kan du läsa följande resurser:

Obs!

De data som behålls är från den första dagen som du implementerar och aktiverar API:et för direktuppspelning.

Relaterat innehåll

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on