通过

通过Microsoft Defender中的高级搜寻功能主动搜寻威胁

  • 适用于: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

高级搜寻是基于查询的威胁搜寻工具,可用于浏览长达 30 天的原始数据。 你可以主动检查网络中的事件来找到威胁指示器和实体。 通过灵活访问数据,可以不受约束地搜寻已知威胁和潜在威胁。

高级搜寻支持两种模式:引导模式和高级模式。 如果还不熟悉 KQL) Kusto 查询语言 (,或者更喜欢查询生成器的便利性,请使用引导模式。 如果习惯使用 KQL 从头开始创建查询,请使用 高级模式

若要开始搜寻,请阅读在引导模式和高级模式之间进行选择,以在Microsoft Defender门户中进行搜寻

可以使用相同的威胁搜寻查询来生成自定义检测规则。 这些规则自动运行以检查,然后响应可疑的违规活动、错误配置的计算机和其他发现。

高级搜寻支持检查更广泛的数据集的查询,这些数据集来自:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Sentinel

若要使用高级搜寻,请打开Microsoft Defender XDR。 或者,若要将高级搜寻与Microsoft Sentinel配合使用,请将Microsoft Sentinel连接到 Defender 门户

有关Microsoft Defender for Cloud Apps数据中的高级搜寻的详细信息,请参阅视频

获取访问权限

需要分配权限,然后才能运行高级搜寻查询。 可以选择下列选项:

  • Microsoft Defender XDR基于角色的统一访问控制 (URBAC)

    • 只读高级搜寻访问 (Email & 协作表) :分配有安全作>安全数据>安全数据基本 (读取) URBAC 权限的成员身份。 此权限提供对以下权限的访问权限:
      • EmailEvents
      • EmailUrlInfo
      • EmailAttachmentInfo
      • UrlClickEvents
      • Email实体元数据

  • Email & Microsoft Defender门户中的协作权限:以下Email &协作角色组中的成员身份提供对高级搜寻中电子邮件数据表的访问权限:

    • 安全管理员
    • 安全操作员
    • 安全信息读取者

  • Exchange Online权限:若要访问高级搜寻中显示的Exchange Online数据,用户必须是以下Exchange Online角色组之一的成员:

    • View-Only Organization Management
    • 仅查看配置
    • 安全信息读取者
    • 全局读取器

  • Microsoft Entra权限:以下Microsoft Entra角色之一的成员身份授予对所有高级搜寻数据的完全读取访问权限:

    • 全局管理员
    • 安全管理员
    • 安全信息读取者
    • 全局读取器

    此外,对终结点数据的访问由基于角色的访问控制 (RBAC) Microsoft Defender for Endpoint 中的设置确定。 有关详细信息,请参阅使用Microsoft Entra全局角色管理对Microsoft Defender XDR的访问权限

数据新鲜度和更新频率

可以将高级搜寻数据分类为两种不同的类型,每种类型以不同的方式合并。

事件或活动数据

事件或活动数据填充有关警报、安全事件、系统事件和例行评估的表。 高级搜寻几乎会在成功收集这些数据的传感器之后立刻将这些数据传输到相应的云服务。 例如,在 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity 从工作站或域控制器上的正常传感器获得事件数据后,你几乎可以立即查询这些数据。

若要收集更多事件属性,可以选择启用 聚合报告

实体数据

实体数据使用有关用户和设备的信息填充表。 此数据来自相对静态的数据源和动态源,例如 Active Directory 条目和事件日志。 为了提供最新数据,每小时更新一次表,以插入一条记录,其中包含有关每个实体的最新、最全面的数据集,包括运行状况状态和标记等其他有用信息。

时区

查询

高级搜寻数据使用 UTC (世界时协调) 时区。 自定义时间范围的屏幕截图。

应使用 UTC 创建查询。

结果

高级搜寻结果将转换为 Microsoft Defender XDR 中设置的时区

若要延长高级搜寻的 30 天保留期,可以使用流式处理 API

若要延长高级搜寻的 30 天保留期,请参阅以下资源:

注意

保留的数据是从实现和启用流式处理 API 的第一天开始的。

相关内容

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区

  • Last updated on