Microsoft 365 Defender'da gelişmiş arama ile tehditleri proaktif olarak avlama

Not

Microsoft 365 Defender mı yaşamak istiyorsunuz? Microsoft 365 Defender değerlendirme ve pilot uygulama hakkında daha fazla bilgi edinin.

Şunlar için geçerlidir:

  • Microsoft 365 Defender

Gelişmiş avcılık, 30 güne kadar ham verileri keşfetmenizi sağlayan sorgu tabanlı bir tehdit avcılığı aracıdır. Tehdit göstergelerini ve varlıkları bulmak için ağınızdaki olayları proaktif olarak inceleyebilirsiniz. Verilere esnek erişim, hem bilinen hem de olası tehditler için kısıtlanmamış avcılık sağlar.

Gelişmiş avcılık, destekli ve gelişmiş iki modu destekler. Kusto Sorgu Dili (KQL) hakkında henüz bilgi sahibi değilseniz veya sorgu oluşturucunun rahatlığını tercih ediyorsanız destekli modu kullanın. Sıfırdan sorgu oluşturmak için KQL'yi rahatça kullanıyorsanız gelişmiş modu kullanın.

Avlanmaya başlamak için Microsoft 365 Defender'da avlanmak için kılavuzlu ve gelişmiş modlar arasında seçim yapma bölümünü okuyun.

Özel algılama kuralları oluşturmak için aynı tehdit avcılığı sorgularını kullanabilirsiniz. Bu kurallar, şüpheli ihlal etkinliğini, yanlış yapılandırılmış makineleri ve diğer bulguları denetlemek ve yanıtlamak için otomatik olarak çalıştırılır.

Gelişmiş tehdit avcılığı, aşağıdakilerden gelen daha geniş bir veri kümesini denetleen sorguları destekler:

  • Uç Nokta için Microsoft Defender
  • Office 365 için Microsoft Defender
  • Bulut Uygulamaları için Microsoft Defender
  • Kimlik için Microsoft Defender

Gelişmiş avcılığı kullanmak için Microsoft 365 Defender açın.

Microsoft Defender for Cloud Apps verilerde gelişmiş avlanma hakkında daha fazla bilgi için videoya bakın.

Erişim alma

Gelişmiş avcılık veya diğer Microsoft 365 Defender özelliklerini kullanmak için Azure Active Directory'de uygun bir role sahip olmanız gerekir. Gelişmiş avcılık için gerekli roller ve izinler hakkında bilgi edinin.

Ayrıca, uç nokta verilerine erişiminiz Uç Nokta için Microsoft Defender rol tabanlı erişim denetimi (RBAC) ayarları tarafından belirlenir. Microsoft 365 Defender erişimini yönetme hakkında bilgi edinin.

Veri güncelliği ve güncelleştirme sıklığı

Gelişmiş tehdit avcılığı verileri, her biri farklı şekilde birleştirilmiş iki ayrı türe kategorilere ayırılabilir.

  • Olay veya etkinlik verileri; uyarılar, güvenlik olayları, sistem olayları ve rutin değerlendirmeler hakkındaki tabloları doldurur. Gelişmiş avcılık, bu verileri toplayan algılayıcılar tarafından ilgili bulut hizmetlerine başarıyla iletildikten hemen sonra alır. Örneğin, iş istasyonlarındaki veya etki alanı denetleyicilerindeki iyi durumdaki algılayıcılardan gelen olay verilerini, Uç Nokta için Microsoft Defender ve Kimlik için Microsoft Defender kullanıma sunulduktan hemen sonra sorgulayabilirsiniz.
  • Varlık verileri; tabloları kullanıcılar ve cihazlar hakkındaki bilgilerle doldurur. Bu veriler hem görece statik veri kaynaklarından hem de Active Directory girişleri ve olay günlükleri gibi dinamik kaynaklardan gelir. Yeni veriler sağlamak için, tablolar her 15 dakikada bir yeni bilgilerle güncelleştirilir ve tam olarak doldurulmayabilecek satırlar eklenir. Her 24 saatte bir veriler birleştirerek her varlıkla ilgili en son ve en kapsamlı veri kümesini içeren bir kayıt eklenir.

Saat dilimi

Sorgu

Gelişmiş tehdit avcılığı verileri UTC (Evrensel Saat Eşgüdümlü) saat dilimini kullanır. Özel zaman aralığının ekran görüntüsü.

Sorgular UTC'de oluşturulmalıdır.

Sonuç -ları

Gelişmiş avlanma sonuçları, Microsoft 365 Defender'de ayarlanan saat dilimine dönüştürülür.