在 Microsoft Defender 全面偵測回應中使用進階搜捕主動搜捕威脅

適用於：

進階搜捕是以查詢為基礎的威脅搜捕工具，可讓您探索最多 30 天的原始數據。您可以主動檢查網路中的事件，以找出威脅指標和實體。對資料的靈活存取可讓您不受限制地同時搜捕已知和潛在的威脅。

進階搜捕支援兩種模式：引導式和進階。如果您還不熟悉 Kusto 查詢語言 (KQL) 或偏好查詢產生器的便利性，請使用引導模式。如果您習慣使用 KQL 從頭開始建立查詢，請使用進階模式。

您可以使用相同的威脅搜捕查詢來建置自定義偵測規則。這些規則會自動執行以檢查，然後回應可疑的入侵活動、設定錯誤的機器和其他結果。

進階搜捕支持查詢，可檢查來自下列專案更廣泛的數據集：

如需進階搜捕 Microsoft Defender for Cloud Apps 數據的詳細資訊，請參閱影片。

取得存取權

若要使用進階搜捕或其他 Microsoft Defender 全面偵測回應功能，您需要在 Microsoft Entra ID 中扮演適當的角色。閱讀進階搜捕所需的角色和許可權。

此外，您對端點數據的存取取決於角色型訪問控制 (適用於端點的 Microsoft Defender 中的 RBAC) 設定。瞭解如何管理 Microsoft Defender 全面偵測回應的存取權。

進階搜捕資料可以分類成兩種不同的類型，每種類型的合併方式不同。

事件或活動資料—會填入有關警示、安全性事件、系統事件和例行評定的資料表。在收集這些資料的感應器成功將資料傳輸至對應的雲端服務之後，進階搜捕幾乎會即時收到此資料。例如，您可以從工作站或域控制器上狀況良好的感測器查詢事件數據，幾乎在適用於端點的 Microsoft Defender 和適用於身分識別的 Microsoft Defender 上提供這些感測器之後。
實體資料 — 在資料表中填入使用者和裝置的相關信息。此資料來自相對靜態資料來源和動態來源，例如 Active Directory 項目和事件記錄。為了提供全新的資料，表格每 15 分鐘會更新一次任何新資訊，新增可能未完全填滿的資料列。每 24 小時會合並一次資料，以插入包含每個實體最新、最完整的資料集的記錄。

進階搜捕數據會使用UTC (通用時間協調) 時區。自訂時間範圍的螢幕快照。

查詢應該以UTC建立。

進階搜捕結果會轉換成 Microsoft Defender 全面偵測回應中設定的時區。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應技術社群。