Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zaawansowane wyszukiwanie zagrożeń to narzędzie do wyszukiwania zagrożeń oparte na zapytaniach, którego używasz do eksplorowania nieprzetworzonych danych przez maksymalnie 30 dni. Możesz proaktywnie sprawdzać zdarzenia w sieci, aby zlokalizować wskaźniki zagrożeń i jednostki. Elastyczny dostęp do danych umożliwia nieograniczone wyszukiwanie zagrożeń zarówno znanych, jak i potencjalnych.
Zaawansowane wyszukiwanie zagrożeń obsługuje dwa tryby: z przewodnikiem i zaawansowane. Użyj trybu z przewodnikiem, jeśli nie znasz jeszcze język zapytań Kusto (KQL) lub jeśli wolisz wygodę konstruktora zapytań. Użyj trybu zaawansowanego , jeśli używasz języka KQL do tworzenia zapytań od podstaw.
Aby rozpocząć wyszukiwanie zagrożeń, zobacz Wybieranie między trybami z przewodnikiem i zaawansowanymi do wyszukiwania w portalu Microsoft Defender.
Możesz użyć tych samych zapytań wyszukiwania zagrożeń, aby utworzyć niestandardowe reguły wykrywania. Te reguły są uruchamiane automatycznie w celu sprawdzania, a następnie reagowania na podejrzenie naruszenia zabezpieczeń, nieprawidłowo skonfigurowane maszyny i inne ustalenia.
Zaawansowane wyszukiwanie zagrożeń obsługuje zapytania, które sprawdzają szerszy zestaw danych pochodzący z:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Ochrona usługi Office 365 w usłudze Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Sentinel
Aby użyć zaawansowanego wyszukiwania zagrożeń, włącz Microsoft Defender XDR. Aby użyć zaawansowanego wyszukiwania zagrożeń z Microsoft Sentinel, połącz się Microsoft Sentinel z portalem usługi Defender.
Aby uzyskać więcej informacji na temat zaawansowanego wyszukiwania zagrożeń w Microsoft Defender for Cloud Apps danych, zobacz wideo.
Uzyskiwanie dostępu
Przed uruchomieniem zapytań zaawansowanego wyszukiwania zagrożeń musisz mieć przypisane uprawnienia. Masz następujące możliwości:
Microsoft Defender XDR Ujednolicona kontrola dostępu oparta na rolach (URBAC):
-
Dostęp do zaawansowanego wyszukiwania zagrożeń tylko do odczytu (tabele współpracy Email &): członkostwo przypisane do podstawowego(odczytu) uprawnienia URBACdanych> zabezpieczeń operacji > zabezpieczeń. To uprawnienie zapewnia dostęp do:
- EmailEvents
- EmailUrlInfo
- EmailAttachmentInfo
- UrlClickEvents
- metadane jednostki Email
-
Dostęp do zaawansowanego wyszukiwania zagrożeń tylko do odczytu (tabele współpracy Email &): członkostwo przypisane do podstawowego(odczytu) uprawnienia URBACdanych> zabezpieczeń operacji > zabezpieczeń. To uprawnienie zapewnia dostęp do:
Email & uprawnienia do współpracy w portalu Microsoft Defender: Członkostwo w jednej z następujących grup ról współpracy Email & zapewnia dostęp do tabel danych poczty e-mail w obszarze Zaawansowane wyszukiwanie zagrożeń:
- Administrator zabezpieczeń
- Operator zabezpieczeń
- Czytelnik zabezpieczeń
uprawnienia Exchange Online: Aby uzyskać dostęp do Exchange Online danych eksploracyjnych w usłudze Zaawansowane wyszukiwanie zagrożeń, użytkownicy muszą być członkami jednej z następujących Exchange Online grup ról:
- Zarządzanie organizacją tylko do wyświetlania
- Konfiguracja tylko do wyświetlania
- Czytelnik zabezpieczeń
- Czytelnik globalny
uprawnienia Microsoft Entra: Członkostwo w jednej z następujących ról Microsoft Entra zapewnia pełny dostęp do odczytu do wszystkich danych zaawansowanego wyszukiwania zagrożeń:
- Administrator globalny
- Administrator zabezpieczeń
- Czytelnik zabezpieczeń
- Czytelnik globalny
Ponadto dostęp do danych punktu końcowego jest określany przez ustawienia kontroli dostępu opartej na rolach (RBAC) w Ochrona punktu końcowego w usłudze Microsoft Defender. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do Microsoft Defender XDR za pomocą Microsoft Entra ról globalnych.
Częstotliwość odświeżenia i aktualizacji danych
Zaawansowane dane wyszukiwania zagrożeń są podzielone na dwa różne typy, z których każdy ma inny proces konsolidacji.
Dane zdarzeń lub działań
Dane zdarzeń lub działań wypełniają tabele dotyczące alertów, zdarzeń zabezpieczeń, zdarzeń systemowych i rutynowych ocen. Zaawansowane wyszukiwanie zagrożeń odbiera te dane niemal natychmiast po tym, jak czujniki, które je pomyślnie zbierają, przekazują je do odpowiednich usług w chmurze. Na przykład można wysyłać zapytania o dane zdarzeń z czujników w dobrej kondycji na stacjach roboczych lub kontrolerach domeny niemal natychmiast po ich udostępnieniu w Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender for Identity.
Aby zebrać jeszcze więcej właściwości zdarzeń, możesz włączyć zagregowane raportowanie.
Dane jednostki
Dane jednostki wypełniają tabele informacjami o użytkownikach i urządzeniach. Te dane pochodzą zarówno ze względnie statycznych źródeł danych, jak i źródeł dynamicznych, takich jak wpisy usługi Active Directory i dzienniki zdarzeń. Aby zapewnić świeże dane, tabele są aktualizowane co godzinę, aby wstawić rekord zawierający najnowszy, najbardziej kompleksowy zestaw danych dotyczących każdej jednostki, w tym inne przydatne informacje, takie jak stan kondycji i tagi.
Przydziały i parametry użycia
Aby usługa była wydajna i dynamiczna, zaawansowane wyszukiwanie zagrożeń ustawia różne limity przydziału i parametry użycia (nazywane również "limitami usługi"). Te limity przydziału i parametry dotyczą oddzielnie zapytań uruchamianych ręcznie i zapytań uruchamianych przy użyciu niestandardowych reguł wykrywania. Należy pamiętać o tych limitach, jeśli regularnie uruchamiasz wiele zapytań. Zastosuj najlepsze rozwiązania optymalizacji , aby zminimalizować zakłócenia.
Zapoznaj się z poniższą tabelą, aby poznać istniejące limity przydziału i parametry użycia.
| Limit przydziału lub parametr | Rozmiar | Cykl odświeżania | Opis |
|---|---|---|---|
| Zakres dat | 30 dni dla danych Defender XDR, chyba że są przesyłane strumieniowo za pośrednictwem Microsoft Sentinel | Każde zapytanie | Każde zapytanie może wyszukiwać dane Defender XDR z ostatnich 30 dni lub dłużej, jeśli są przesyłane strumieniowo za pośrednictwem Microsoft Sentinel |
| Zestaw wyników | 100 000 wierszy | Każde zapytanie | Każde zapytanie może zwrócić do 100 000 rekordów. |
| Limit czasu | 10 minut | Każde zapytanie | Każde zapytanie może być uruchamiane przez maksymalnie 10 minut. Jeśli nie zostanie ukończona w ciągu 10 minut, usługa wyświetli błąd. |
| Zasoby procesora CPU | Na podstawie rozmiaru dzierżawy | Co 15 minut | Portal wyświetla ostrzeżenie za każdym razem, gdy zapytanie jest uruchamiane, a dzierżawa zużywa ponad 10% przydzielonych zasobów. Zapytania są blokowane , jeśli dzierżawa osiągnie 100% aż do następnego 15-minutowego cyklu. |
| Limit rozmiaru wyników | 64 MB | Każde zapytanie | Limit całkowitego rozmiaru danych wyników, który nie dotyczy tylko liczby rekordów. Czynniki takie jak liczba kolumn, typów danych i długości pól również przyczyniają się do rozmiaru wyniku. |
W ujednoliconym portalu Microsoft Defender możesz uruchamiać zapytania za pośrednictwem tabel Microsoft Sentinel, dołączając obszar roboczy. W związku z tym mają również zastosowanie limity obszaru roboczego usługi Log Analytics.
Aby uzyskać zaawansowane wyszukiwanie zagrożeń w organizacjach wielodostępnych, zobacz Limity przydziału w zaawansowanym wyszukiwaniu zagrożeń w zarządzaniu wielodostępne.
Uwaga
Oddzielny zestaw przydziałów i parametrów ma zastosowanie do zaawansowanych zapytań wyszukiwania zagrożeń wykonywanych za pośrednictwem interfejsu API. Przeczytaj o zaawansowanych interfejsach API wyszukiwania zagrożeń
Strefa czasowa
Zapytania
Zaawansowane dane wyszukiwania zagrożeń używają strefy czasowej UTC (Uniwersalna koordynacja czasu).
Tworzenie zapytań w formacie UTC.
Wyniki
Zaawansowane wyniki wyszukiwania zagrożeń są konwertowane na strefę czasową ustawioną w Microsoft Defender XDR.
Aby przedłużyć okres przechowywania 30 dni na potrzeby zaawansowanego wyszukiwania zagrożeń, użyj interfejsów API przesyłania strumieniowego
Aby przedłużyć okres przechowywania 30 dni dla zaawansowanego wyszukiwania zagrożeń, zobacz następujące zasoby:
- interfejs API przesyłania strumieniowego Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender interfejsu API przesyłania strumieniowego danych pierwotnych
Uwaga
Przechowywanie danych rozpoczyna się od pierwszego dnia implementowania i włączania interfejsu API przesyłania strumieniowego.
Zawartość pokrewna
- Wybieranie między trybami wyszukiwania z przewodnikiem a zaawansowanymi trybami wyszukiwania zagrożeń
- Tworzenie zapytań wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem
- Nauka języka zapytań
- Analiza schematu
- Interfejs API zabezpieczeń programu Microsoft Graph
- Wykrywanie niestandardowe — omówienie
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.