Aracılığıyla paylaş


Microsoft Defender'de gelişmiş avcılık ile tehditleri proaktif olarak avlama

Gelişmiş avcılık, 30 güne kadar ham verileri keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar.

Gelişmiş avcılık, destekli ve gelişmiş iki modu destekler. Kusto Sorgu Dili (KQL) hakkında henüz bilgi sahibi değilseniz veya sorgu oluşturucunun rahatlığını tercih ediyorsanız destekli modu kullanın. Sıfırdan sorgu oluşturmak için KQL'yi rahatça kullanıyorsanız gelişmiş modu kullanın.

Avlanmaya başlamak için Microsoft Defender portalında avlanmak için kılavuzlu ve gelişmiş modlar arasında seçim yapma bölümünü okuyun.

Özel algılama kuralları oluşturmak için aynı tehdit avcılığı sorgularını kullanabilirsiniz. Bu kurallar, şüpheli ihlal etkinliğini, yanlış yapılandırılmış makineleri ve diğer bulguları denetlemek ve yanıtlamak için otomatik olarak çalıştırılır.

Gelişmiş tehdit avcılığı, aşağıdakilerden gelen daha geniş bir veri kümesini denetleen sorguları destekler:

  • Uç Nokta için Microsoft Defender
  • Office 365 için Microsoft Defender
  • Bulut Uygulamaları için Microsoft Defender
  • Kimlik için Microsoft Defender
  • Microsoft Sentinel

Gelişmiş avcılığı kullanmak için Microsoft Defender XDR açın. Veya Microsoft Sentinel ile gelişmiş avcılığı kullanmak için Microsoft Sentinel Defender portalına bağlayın.

Microsoft Defender for Cloud Apps verilerde gelişmiş avcılık hakkında daha fazla bilgi için videoya bakın.

Erişim alma

Gelişmiş avcılık veya diğer Microsoft Defender XDR özelliklerini kullanmak için Microsoft Entra ID uygun bir role sahip olmanız gerekir. Gelişmiş avcılık için gerekli roller ve izinler hakkında bilgi edinin.

Ayrıca, uç nokta verilerine erişiminiz Uç Nokta için Microsoft Defender rol tabanlı erişim denetimi (RBAC) ayarları tarafından belirlenir. Microsoft Defender XDR erişimini yönetme hakkında bilgi edinin.

Veri güncelliği ve güncelleştirme sıklığı

Gelişmiş tehdit avcılığı verileri, her biri farklı bir şekilde birleştirilmiş iki ayrı türe kategorilere ayırılabilir.

  • Olay veya etkinlik verileri; uyarılar, güvenlik olayları, sistem olayları ve rutin değerlendirmeler hakkındaki tabloları doldurur. Gelişmiş avcılık, bu verileri toplayan algılayıcılar tarafından ilgili bulut hizmetlerine başarıyla iletildikten hemen sonra alır. Örneğin, iş istasyonlarındaki veya etki alanı denetleyicilerindeki iyi durumdaki algılayıcılardan gelen olay verilerini, Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender kullanıma sunulduktan hemen sonra sorgulayabilirsiniz.
  • Varlık verileri; tabloları kullanıcılar ve cihazlar hakkındaki bilgilerle doldurur. Bu veriler hem görece statik veri kaynaklarından hem de Active Directory girişleri ve olay günlükleri gibi dinamik kaynaklardan gelir. Yeni veriler sağlamak için, tablolar her 15 dakikada bir yeni bilgilerle güncelleştirilir ve tam olarak doldurulmayabilecek satırlar eklenir. Her 24 saatte bir veriler birleştirerek her varlıkla ilgili en son ve en kapsamlı veri kümesini içeren bir kayıt eklenir.

Saat dilimi

Sorgular

Gelişmiş tehdit avcılığı verileri UTC (Evrensel Saat Eşgüdümlü) saat dilimini kullanır. Özel zaman aralığının ekran görüntüsü.

Sorgular UTC'de oluşturulmalıdır.

Sonuç -ları

Gelişmiş avlanma sonuçları, Microsoft Defender XDR'da ayarlanan saat dilimine dönüştürülür.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.