在進階搜捕中使用共用查詢

• 適用於:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

您可以在同一個組織的多位使用者之間共用進階搜捕查詢。 您也可以儲存只能供您存取的查詢。 您也可以在 GitHub 上找到公開共用的社群查詢。 這些已儲存的查詢可讓您快速地進行特定的威脅搜捕案例，而不需要從頭開始撰寫查詢。

在進階搜捕的 [查詢] 索引標籤下，您可以找到 [共享查詢]、[ 我的查詢] 和 [ 社群] 查詢的下拉功能表。 您可以選取向下箭號來展開功能表。

儲存、修改及共用查詢

您可以儲存新的或現有的查詢，以便只有組織中的其他使用者能存取或共用。

1. 建立或修改查詢。

2. 按一下 [儲存查詢] 下拉式按鈕，然後選取 [另存新檔]。

3. 輸入查詢的名稱。

   

4. 選取您要儲存查詢的資料夾。

   • 共用的查詢 — 與組織的所有使用者共用
   • 我的查詢 —只有您可以存取

5. 選取 [儲存]。

刪除或重新命名查詢

1. 選取您要重新命名或刪除之查詢右邊的三個點。

   

2. 選取 [刪除] 並確認刪除。 或選取 [重新命名]，並為查詢提供新名稱。

建立查詢的直接連結

若要產生直接在進階搜捕查詢編輯器中開啟查詢的連結，請完成查詢並選取 [共享連結]。

存取 GitHub 存放庫中的社群查詢

Microsoft 安全研究人員會定期在 GitHub 上的指定公開儲存庫中共用進階搜捕查詢。 發佈之前，會先檢閱對此存放庫的貢獻。 若要貢獻，請免費加入 GitHub 。

您也可以在 [ 社群查詢 ] 下拉功能表中輕鬆找到這些查詢。

社群查詢會分組成資料夾，例如 活動、 集合、 防禦等。 查詢的進一步相關信息會在查詢本身中提供為內建批注。

提示

Microsoft 安全研究人員也會提供進階搜捕查詢，您可以用來尋找與新興威脅相關聯的活動和指標。 這些查詢會在 Microsoft Defender 全面偵測回應 中作為威脅分析報告的一部分提供。

相關主題

• 進階搜捕概觀
• 了解查詢語言
• 使用查詢結果工作
• 跨裝置、電子郵件、應用程式和身分識別搜捕
• 了解結構描述
• 套用查詢最佳做法

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。