在引导模式和高级模式之间进行选择,以在Microsoft Defender XDR
适用于:
- Microsoft Defender XDR
可以通过转到Microsoft Defender门户中的左侧导航栏并选择“搜寻>高级搜寻”来查找高级搜寻页面。 如果导航栏已折叠,请选择搜寻图标 
。
在 高级搜寻 页中,支持两种模式:
- 引导模式 - 使用查询生成器进行查询
- 高级模式 - 使用Kusto 查询语言 (KQL) 使用查询编辑器进行查询
这两种模式之间的main区别在于,引导模式不需要猎人知道 KQL 即可查询数据库,而高级模式需要 KQL 知识。
引导模式具有查询生成器,它具有易于使用的可视构建块样式,可通过包含可用筛选器和条件的下拉菜单构造查询。 若要使用引导式模式,请参阅 引导式搜寻模式入门。
高级模式具有查询编辑器区域,用户可以从头开始创建查询。 若要使用高级模式,请参阅 高级搜寻模式入门。
引导式搜寻模式入门
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
在提供引导式搜寻功能后首次打开高级搜寻页时,系统会邀请你进行浏览,详细了解页面的不同部分,例如选项卡和查询区域。
若要进行演示,请在出现以下横幅时选择“ 参加演示 ”:
按照整个页面显示的蓝色教学气泡进行操作,然后选择“ 下一步 ”,从一个步骤移动到下一步。
你可以通过转到 “帮助资源>”了解详细信息 并选择“参加教程”,随时再次 参加该教程。
然后,可以开始生成查询来搜寻威胁。 以下文章可帮助你充分利用引导模式下的搜寻:
| 学习目标 | 说明 | 资源 |
|---|---|---|
| 创建第一个查询 | 了解查询生成器的基础知识,例如指定数据域以及添加条件和筛选器以帮助创建有意义的查询。 通过运行示例查询进一步了解。 | 使用引导模式生成搜寻查询 |
| 了解不同的查询生成器功能 | 了解支持的不同数据类型和引导模式功能,以帮助你根据需要微调查询。 | 在引导模式下优化查询 |
| 了解可以使用查询结果执行的操作 | 熟悉“结果”视图,以及可以对生成的结果执行的操作,例如如何对其执行操作或将其链接到事件。 |
-
在引导模式下使用查询结果 - 对查询结果执行操作 - 将查询结果链接到事件 |
| 创建自定义检测规则 | 了解如何使用高级搜寻查询来自动触发警报并执行应对操作。 |
-
自定义检测概述 - 自定义检测规则 |
高级搜寻模式入门
建议完成以下步骤,以便快速开始高级搜寻:
| 学习目标 | 说明 | 资源 |
|---|---|---|
| 了解语言 | 高级搜寻功能是基于 Kusto 查询语言,支持与之相同的语法和运算符。 通过运行第一个查询开始学习查询语言。 | 查询语言概述 |
| 了解如何使用查询结果 | 了解用于查看或导出结果的图表和各种方法。 探索如何快速调整查询、向下钻取以获取更丰富的信息以及执行应对操作。 |
-
在高级模式下使用查询结果 - 对查询结果执行操作 - 将查询结果链接到事件 |
| 了解架构 | 更好地大致了解架构及其列中的表。 了解在构造查询时在何处查找数据。 |
-
架构参考 - 从Microsoft Defender for Endpoint转换 |
| 获取专家提示和示例 | 在 Microsoft 专家的指导下进行免费培训。 浏览涵盖不同威胁搜寻方案的预定义查询集合。 |
-
获取专家培训 - 使用共享查询 - Go 搜寻 - 跨设备、电子邮件、应用和标识搜寻威胁 |
| 优化查询和处理错误 | 了解如何创建高效且无错误的查询。 |
-
查询最佳做法 - 处理错误 |
| 创建自定义检测规则 | 了解如何使用高级搜寻查询来自动触发警报并执行应对操作。 |
-
自定义检测概述 - 自定义检测规则 |
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。