自定义检测概述

借助自定义检测,可以主动监视和响应各种事件和系统状态,包括可疑的违规活动和配置错误的终结点。 自定义检测是可自定义的检测规则,可自动触发警报和响应作。

自定义检测与 高级搜寻配合使用,后者提供了一种强大而灵活的查询语言,涵盖来自网络的广泛事件和系统信息集。 可以将它们设置为在匹配时定期运行、生成警报以及执行响应操作。

自定义检测提供:

  • 根据高级搜寻查询生成的基于规则的检测的警报
  • 自动响应作

在自定义检测规则中优化查询对于避免超时和确保效率非常重要。 在 高级搜寻查询最佳做法中,有几个资源提供了有关优化查询的指导。

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区