使用 Microsoft 365 Defender 中的進階搜捕功能主動尋找威脅

注意事項

想要體驗 Microsoft 365 Defender 嗎? 深入瞭解如何評估和試驗Microsoft 365 Defender

適用於:

  • Microsoft 365 Defender

進階搜捕是以查詢為基礎的威脅搜捕工具,可讓您探索最多 30 天的原始資料。 您可以主動檢查網路中的事件,以找出威脅指標和實體。 彈性的資料存取可讓您針對已知和潛在威脅進行不受限制的搜捕。

進階搜捕支援兩種模式:引導式和進階。 如果您還不熟悉 KQL Kusto 查詢語言 () 或偏好查詢產生器的便利性,請使用引導模式。 如果您習慣使用 KQL 從頭開始建立查詢,請使用 進階模式

若要開始搜捕,請參閱在引導模式和進階模式之間進行選擇,以在Microsoft 365 Defender中進行搜捕

您可以使用相同的威脅搜捕查詢來建置自訂偵測規則。 這些規則會自動執行以檢查,然後回應可疑的入侵活動、設定錯誤的機器和其他結果。

這項功能類似于適用於端點的 Microsoft Defender中的進階搜捕,並支援檢查來自下列專案之更廣泛資料集的查詢:

  • 適用於端點的 Microsoft Defender
  • 適用於 Office 365 的 Microsoft Defender
  • Microsoft 雲端 App 安全性
  • 適用於身分識別的 Microsoft Defender

若要使用進階搜捕,請開啟Microsoft 365 Defender

如需Microsoft Defender for Cloud Apps資料中進階搜捕的詳細資訊,請參閱影片

取得存取權

若要使用進階搜捕或其他Microsoft 365 Defender功能,您需要在 Azure Active Directory 中扮演適當的角色。 閱讀進階搜捕所需的角色和許可權

此外,您對端點資料的存取取決於角色型存取控制 (適用於端點的 Microsoft Defender中的 RBAC) 設定。 瞭解如何管理存取Microsoft 365 Defender

資料新鮮性和更新頻率

進階搜捕資料可以分類成兩種不同的類型,每種類型的合併方式不同。

  • 事件或活動資料—會填入有關警示、安全性事件、系統事件和例行評定的資料表。 在收集這些資料的感應器成功將資料傳輸至對應的雲端服務之後,進階搜捕幾乎會即時收到此資料。 例如,您可以從工作站或網域控制站上狀況良好的感應器查詢事件資料,幾乎在適用於端點的 Microsoft Defender和適用於身分識別的 Microsoft Defender上提供這些感應器之後。
  • 實體資料— 在資料表中填入使用者和裝置的相關資訊。 此資料來自相對靜態資料來源和動態來源,例如 Active Directory 項目和事件記錄。 為了提供全新的資料,表格每 15 分鐘會更新一次任何新資訊,新增可能未完全填滿的資料列。 每 24 小時會合並一次資料,以插入包含每個實體最新、最完整的資料集的記錄。

時區

查詢

進階搜捕資料會使用 UTC (通用時間協調) 時區。 自訂時間範圍的螢幕擷取畫面。

查詢應該以 UTC 建立。

結果

進階搜捕結果會轉換成Microsoft 365 Defender中設定的時區