選擇引導式和進階模式,以在 Microsoft Defender 全面偵測回應 中進行搜捕

適用於:

  • Microsoft Defender XDR

您可以前往 Microsoft Defender 入口網站中的左側導覽列,然後選取 [搜捕進階捕>],以找到進階搜捕頁面。 如果導覽列已折疊,請選取搜 捕圖示搜捕圖示

進階搜捕 頁面中,支援兩種模式:

  • 引導模式 – 使用查詢產生器進行查詢
  • 進階模式 – 使用查詢編輯器使用 Kusto 查詢語言 (KQL)

兩種模式之間的主要差異在於,引導模式 不需要 搜捕人員知道 KQL 來查詢資料庫,而進階模式則需要 KQL 知識。

引導模式的功能是查詢產生器,其具有簡單易用、可視化的建置組塊樣式,可透過包含可用篩選條件的下拉功能表來建構查詢。 若要使用引導模式, 請參閱開始使用引導式搜捕模式

進階模式提供查詢編輯器區域,讓使用者可以從頭開始建立查詢。 若要使用進階模式, 請參閱開始使用進階搜捕模式

開始使用引導式搜捕模式

重要

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

當您在引導式搜捕可供您使用之後第一次開啟進階搜捕頁面時,系統會邀請您進行導覽,以深入了解頁面的不同部分,例如索引標籤和查詢區域。

若要進行導覽,請在此橫幅出現時選取 [ 導覽 ]:

橫幅邀請用戶進行導覽

遵循整個頁面中出現的藍色教學泡泡,然後選取 [ 下一步 ] 從一個步驟移至下一個步驟。

您可以前往 [協助 資源>深入瞭解 ],然後選取 [ 導覽],隨時再次進行導覽。

說明資源的螢幕快照

然後,您可以開始建置查詢來搜捕威脅。 下列文章可協助您在引導模式中充分利用搜捕:

學習目標 描述 資源
製作您的第一個查詢 瞭解查詢產生器的基本概念,例如指定數據域,以及新增條件和篩選,以協助您建立有意義的查詢。 執行範例查詢以進一步瞭解。 使用引導模式建置搜捕查詢
瞭解不同的查詢產生器功能 瞭解不同的支援數據類型和引導模式功能,以協助您根據需求微調查詢。 在引導模式中縮小查詢的搜尋範圍
瞭解您可以使用查詢結果執行的動作 熟悉 [結果] 檢視,以及您可以如何處理產生的結果,例如如何對結果採取動作,或將結果連結至事件。 - 在引導模式中使用查詢結果
- 對查詢結果採取動作
- 將查詢結果連結至事件
建立自定義偵測規則 了解如何使用進階搜捕査詢觸發警示並自動採取回應動作。 - 自定義偵測概觀
- 自定義偵測規則

開始使用進階搜捕模式

建議您逐步執行下列步驟,以快速開始使用進階搜捕:

學習目標 描述 資源
了解語言 進階搜捕以 Kusto 查詢語言爲依據,支援相同的語法和運算子。 執行您的第一個查詢來開始學習查詢語言。 查詢語言概觀
瞭解如何使用查詢結果 了解圖表以及檢視或匯出結果的各種方式。 探索如何快速調校査詢,向下切入以取得更豐富的資訊,並採取回應動作。 - 在進階模式中使用查詢結果
- 對查詢結果採取動作
- 將查詢結果連結至事件
了解結構描述 深入了解結構描述中的資料表和資料行。 了解在建構査詢時尋找資料的位置。 - 架構參考
- 從適用於端點的 Microsoft Defender轉換
取得專家秘訣和範例 在 Microsoft 專家的指導下免費訓練。 探索涵蓋不同威脅搜捕案例的預先定義查詢集合。 - 取得專家訓練
- 使用共享查詢
- Go 搜捕
- 跨裝置、電子郵件、應用程式和身分識別搜捕威脅
優化查詢並處理錯誤 了解如何建立高效且無錯誤的査詢。 - 查詢最佳做法
- 處理錯誤
建立自定義偵測規則 了解如何使用進階搜捕査詢觸發警示並自動採取回應動作。 - 自定義偵測概觀
- 自定義偵測規則

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群