選擇引導式和進階模式,以在 Microsoft Defender 全面偵測回應 中進行搜捕
適用於:
- Microsoft Defender XDR
您可以前往 Microsoft Defender 入口網站中的左側導覽列,然後選取 [搜捕進階搜捕>],以找到進階搜捕頁面。 如果導覽列已折疊,請選取搜 。
在 進階搜捕 頁面中,支援兩種模式:
- 引導模式 – 使用查詢產生器進行查詢
- 進階模式 – 使用查詢編輯器使用 Kusto 查詢語言 (KQL)
兩種模式之間的主要差異在於,引導模式 不需要 搜捕人員知道 KQL 來查詢資料庫,而進階模式則需要 KQL 知識。
引導模式的功能是查詢產生器,其具有簡單易用、可視化的建置組塊樣式,可透過包含可用篩選條件的下拉功能表來建構查詢。 若要使用引導模式, 請參閱開始使用引導式搜捕模式。
進階模式提供查詢編輯器區域,讓使用者可以從頭開始建立查詢。 若要使用進階模式, 請參閱開始使用進階搜捕模式。
重要
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
當您在引導式搜捕可供您使用之後第一次開啟進階搜捕頁面時,系統會邀請您進行導覽,以深入了解頁面的不同部分,例如索引標籤和查詢區域。
若要進行導覽,請在此橫幅出現時選取 [ 導覽 ]:
遵循整個頁面中出現的藍色教學泡泡,然後選取 [ 下一步 ] 從一個步驟移至下一個步驟。
您可以前往 [協助 資源>深入瞭解 ],然後選取 [ 導覽],隨時再次進行導覽。
然後,您可以開始建置查詢來搜捕威脅。 下列文章可協助您在引導模式中充分利用搜捕:
學習目標 | 描述 | 資源 |
---|---|---|
製作您的第一個查詢 | 瞭解查詢產生器的基本概念,例如指定數據域,以及新增條件和篩選,以協助您建立有意義的查詢。 執行範例查詢以進一步瞭解。 | 使用引導模式建置搜捕查詢 |
瞭解不同的查詢產生器功能 | 瞭解不同的支援數據類型和引導模式功能,以協助您根據需求微調查詢。 | 在引導模式中縮小查詢的搜尋範圍 |
瞭解您可以使用查詢結果執行的動作 | 熟悉 [結果] 檢視,以及您可以如何處理產生的結果,例如如何對結果採取動作,或將結果連結至事件。 |
-
在引導模式中使用查詢結果 - 對查詢結果採取動作 - 將查詢結果連結至事件 |
建立自定義偵測規則 | 了解如何使用進階搜捕査詢觸發警示並自動採取回應動作。 |
-
自定義偵測概觀 - 自定義偵測規則 |
建議您逐步執行下列步驟,以快速開始使用進階搜捕:
學習目標 | 描述 | 資源 |
---|---|---|
了解語言 | 進階搜捕以 Kusto 查詢語言爲依據,支援相同的語法和運算子。 執行您的第一個查詢來開始學習查詢語言。 | 查詢語言概觀 |
瞭解如何使用查詢結果 | 了解圖表以及檢視或匯出結果的各種方式。 探索如何快速調校査詢,向下切入以取得更豐富的資訊,並採取回應動作。 |
-
在進階模式中使用查詢結果 - 對查詢結果採取動作 - 將查詢結果連結至事件 |
了解結構描述 | 深入了解結構描述中的資料表和資料行。 了解在建構査詢時尋找資料的位置。 |
-
架構參考 - 從適用於端點的 Microsoft Defender轉換 |
取得專家秘訣和範例 | 在 Microsoft 專家的指導下免費訓練。 探索涵蓋不同威脅搜捕案例的預先定義查詢集合。 |
-
取得專家訓練 - 使用共享查詢 - Go 搜捕 - 跨裝置、電子郵件、應用程式和身分識別搜捕威脅 |
優化查詢並處理錯誤 | 了解如何建立高效且無錯誤的査詢。 |
-
查詢最佳做法 - 處理錯誤 |
建立自定義偵測規則 | 了解如何使用進階搜捕査詢觸發警示並自動採取回應動作。 |
-
自定義偵測概觀 - 自定義偵測規則 |
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。