Advanced Hunting 是一種基於查詢的威脅狩獵工具,你可以用它來探索長達 30 天的原始數據。 您可以主動檢查網路中的事件,以找出威脅指標和實體。 對資料的靈活存取可讓您不受限制地同時搜捕已知和潛在的威脅。
進階狩獵支援兩種模式:導引和進階。 如果你還不熟悉 KQL Kusto 查詢語言 () ,或偏好查詢建構器的便利性,可以使用引導模式。 如果你習慣用 KQL 從零開始建立查詢,建議使用 進階模式 。
要開始狩獵,請參考 Microsoft Defender 入口網站中「選擇引導模式與進階模式狩獵」。
你可以使用相同的威脅狩獵查詢來建立自訂的偵測規則。 這些規則會自動執行,以檢查並回應疑似的外洩活動、錯誤配置的機器及其他發現。
進階搜尋支援查詢,檢查來自以下更廣泛的資料集:
- 適用於端點的 Microsoft Defender
- 適用於 Office 365 的 Microsoft Defender
- Microsoft 雲端 App 安全性
- 適用於身分識別的 Microsoft Defender
- Microsoft Sentinel
要使用進階搜尋功能,請開啟 Microsoft Defender 全面偵測回應。 或者要使用Microsoft Sentinel的進階狩獵,可以將Microsoft Sentinel連接到Defender入口網站。
想了解更多關於 Microsoft Defender for Cloud Apps 資料中進階搜尋的資訊,請參考影片。
取得存取權
你需要先被分配權限,才能執行進階狩獵查詢。 您有下列選項:
Microsoft Defender 全面偵測回應 統一基於角色的存取控制 (URBAC) :
-
唯讀進階狩獵存取 (Email & 協作表) :與安全作業>一同分配成員資格,安全資料安全資料>基本 () URBAC 權限可讀取。 此權限提供以下權限:
- EmailEvents
- EmailUrlInfo
- EmailAttachmentInfo
- UrlClickEvents
- Email 實體元資料
-
唯讀進階狩獵存取 (Email & 協作表) :與安全作業>一同分配成員資格,安全資料安全資料>基本 () URBAC 權限可讀取。 此權限提供以下權限:
Email & Microsoft Defender入口網站的協作權限:加入以下Email &協作角色群組之一,可存取進階狩獵中的電子郵件資料表:
- 安全性系統管理員
- 安全性操作員
- 安全性讀取者
Exchange Online 權限:要存取進階搜尋中顯示的 Exchange Online 資料,使用者必須是以下 Exchange Online 角色群組之一的成員:
- View-Only Organization Management
- 僅限檢視組態
- 安全性讀取者
- 全球讀者
Microsoft Entra 權限:加入以下 Microsoft Entra 角色之一可獲得所有進階狩獵資料的完整讀取權限:
- 全域管理員
- 安全性系統管理員
- 安全性讀取者
- 全球讀者
此外,你對端點資料的存取權是透過基於角色 (RBAC) 設定在 適用於端點的 Microsoft Defender 中決定的。 欲了解更多資訊,請參閱「管理 Microsoft Entra 全球角色對 Microsoft Defender 全面偵測回應的存取」。
資料新鮮性和更新頻率
進階狩獵資料分為兩種截然不同的類型,每種都有不同的整合過程。
事件或活動資料
事件或活動資料填充有關警示、安全事件、系統事件及例行評估的資料表。 先進獵物幾乎會在感測器成功傳送到相應雲端服務後立即接收這些資料。 例如,您可以在工作站或網域控制站上的良好感應器在適用於端點的 Microsoft Defender 和適用於身分識別的 Microsoft Defender 上可用後立即査詢它們的事件資料。
想要收集更多事件屬性,你可以開啟彙總報告。
實體資料
實體資料會將使用者與裝置的資訊填充到表格中。 此資料來自相對靜態資料來源和動態來源,例如 Active Directory 項目和事件記錄。 為了提供最新資料,表格每小時更新一次,插入包含每個實體最新、最完整資料集的紀錄,並包含健康狀態與標籤等其他有用資訊。
配額和使用量參數
為了保持服務效能與反應迅速,進階狩獵設定了各種配額與使用參數 (也稱為「服務限制」) 。 這些配額與參數分別適用於手動執行的查詢,以及使用 自訂偵測規則執行的查詢。 如果你經常執行多個查詢,請留意這些限制。 應用優化最佳實務 以減少干擾。
請參考下表以了解現有的配額與使用參數。
| 配額或參數 | 大小 | 重新整理循環 | 描述 |
|---|---|---|---|
| 日期範圍 | 除非透過 Microsoft Sentinel 串流,否則 Defender 全面偵測回應資料需 30 天 | 每個查詢 | 每個查詢都能查詢過去 30 天內的 Defender 全面偵測回應資料,若透過 Microsoft Sentinel 串流則更久 |
| 結果集 | 100,000 列 | 每個查詢 | 每個查詢最多可返回 100,000 筆紀錄。 |
| 逾時 | 10 分鐘 | 每個查詢 | 每個查詢最多只能執行 10 分鐘。 如果 10 分鐘內未完成,服務會顯示錯誤。 |
| CPU 資源 | 根據租用戶大小 | 每 15 分鐘 | 當查詢執行且租戶使用超過 10% 的分配資源時,入口網站會顯示警告。 如果租戶達到 100%,查詢會被封鎖,直到下一個 15 分鐘週期結束。 |
| 結果大小限制 | 64 MB | 每個查詢 | 結果資料整體大小的限制,不只是指記錄數量。 欄位數量、資料型態及欄位長度等因素也會影響結果大小。 若查詢結果超過 64 MB 大小限制,入口網站會回傳在此限制內可存取的最大紀錄數,並顯示因大小限制顯示結果為部分的訊息。 |
在統一的 Microsoft Defender 入口網站中,你可以透過啟動工作空間,對 Microsoft Sentinel 資料表執行查詢。 因此,日誌分析工作區的限制也適用。
關於多租戶組織中的進階獵捕,請參見 多租戶管理中的進階獵捕配額。
注意事項
透過 API 執行的進階搜尋查詢,則有一套獨立的配額與參數。 閱讀關於進階狩獵 API 的資訊
時區
查詢
進階狩獵則使用UTC (世界時協調) 來處理所有資料。
用 UTC 寫查詢。
結果
Microsoft Defender 全面偵測回應會將進階搜尋結果轉換成你設定的時區。
若要延長進階狩獵的 30 天保留期限,請使用 Streaming API。
欲延長進階狩獵的30天保留期,請參閱以下資源:
- Microsoft Defender 全面偵測回應串流 API
- 適用於端點的 Microsoft Defender Raw Data Streaming API
注意事項
資料保留從你實施並啟用串流 API 的第一天開始。
相關內容
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。