Proaktivní vyhledávání hrozeb s pokročilým vyhledáváním v Microsoft Defender

Rozšířené proaktivní vyhledávání je nástroj proaktivního vyhledávání hrozeb založený na dotazech, který umožňuje zkoumat nezpracovaná data až za 30 dnů. Můžete proaktivně kontrolovat události ve vaší síti a vyhledávat indikátory hrozeb a entity. Flexibilní přístup k datům umožňuje unconstrained proaktivní vyhledávání známých i potenciálních hrozeb.

Rozšířené proaktivní vyhledávání podporuje dva režimy, s průvodcem a pokročilým. Pokud ještě neznáte dotazovací jazyk Kusto (KQL) nebo dáváte přednost pohodlí tvůrce dotazů, použijte režim s průvodcem. Pokud jste obeznámeni s vytvářením dotazů od začátku, použijte rozšířený režim .

Pokud chcete začít proaktivní vyhledávání, přečtěte si článek Volba mezi režimy s asistencí a pokročilými režimy pro vyhledávání na portálu Microsoft Defender.

Stejné dotazy proaktivního vyhledávání hrozeb můžete použít k vytvoření vlastních pravidel detekce. Tato pravidla se spouští automaticky, aby zkontrolovala a pak reagovala na podezřelou aktivitu porušení zabezpečení, chybně nakonfigurované počítače a další zjištění.

Rozšířené proaktivní vyhledávání podporuje dotazy, které kontrolují širší datovou sadu pocházející z:

  • Microsoft Defender for Endpoint
  • Microsoft Defender pro Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Sentinel

Pokud chcete použít rozšířené vyhledávání, zapněte Microsoft Defender XDR. Pokud chcete použít rozšířené proaktivní vyhledávání s Microsoft Sentinel, připojte Microsoft Sentinel k portálu Defender.

Další informace o rozšířeném vyhledávání Microsoft Defender for Cloud Apps dat najdete ve videu.

Získání přístupu

Pokud chcete používat rozšířené proaktivní vyhledávání nebo jiné možnosti Microsoft Defender XDR, potřebujete v Microsoft Entra ID odpovídající roli. Přečtěte si o požadovaných rolích a oprávněních pro rozšířené proaktivní vyhledávání.

Váš přístup k datům koncových bodů je také určen nastavením řízení přístupu na základě role (RBAC) v Microsoft Defender for Endpoint. Přečtěte si o správě přístupu k Microsoft Defender XDR.

Aktuálnost dat a frekvence aktualizací

Data rozšířeného proaktivního vyhledávání je možné kategorizovat do dvou různých typů, z nichž každý se konsoliduje odlišně.

  • Data o událostech nebo aktivitách – naplní tabulky o výstrahách, událostech zabezpečení, systémových událostech a rutinních hodnoceních. Rozšířené proaktivní vyhledávání přijímá tato data téměř okamžitě poté, co je senzory, které je shromažďují, je úspěšně přenesou do odpovídajících cloudových služeb. Můžete se například dotazovat na data událostí ze senzorů, které jsou v pořádku, na pracovních stanicích nebo řadičích domény téměř okamžitě poté, co jsou k dispozici na Microsoft Defender for Endpoint a Microsoft Defender for Identity.
  • Data entit – naplní tabulky informacemi o uživatelích a zařízeních. Tato data pocházejí jak z relativně statických zdrojů dat, tak z dynamických zdrojů, jako jsou položky služby Active Directory a protokoly událostí. Aby bylo možné poskytovat nová data, aktualizují se tabulky o nové informace každých 15 minut a přidávají se řádky, které nemusí být plně vyplněné. Každých 24 hodin se data konsolidují a vloží záznam, který obsahuje nejnovější a nejkomplexnější datovou sadu o každé entitě.

Časová zóna

Dotazy

Rozšířená data proaktivního vyhledávání používají časové pásmo UTC (Universal Time Coordinated). Snímek obrazovky s vlastním časovým rozsahem

Dotazy by se měly vytvářet ve standardu UTC.

Výsledky

Rozšířené výsledky vyhledávání se převedou na časové pásmo nastavené v Microsoft Defender XDR.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.