Cercare in modo proattivo le minacce con ricerca avanzata in Microsoft Defender

La ricerca avanzata è uno strumento di ricerca delle minacce basato su query che consente di esplorare fino a 30 giorni di dati non elaborati. È possibile controllare in modo proattivo eventi nella rete per localizzare indicatori ed entità di minaccia. L'accesso flessibile ai dati consente la ricerca senza vincoli di minacce sia note che potenziali.

La ricerca avanzata supporta due modalità, guidate e avanzate. Usare la modalità guidata se non si ha ancora familiarità con Linguaggio di query Kusto (KQL) o se si preferisce la comodità di un generatore di query. Usare la modalità avanzata se si ha familiarità con l'uso di KQL per creare query da zero.

Per iniziare a eseguire la ricerca, vedere Scegliere tra modalità guidate e avanzate per la ricerca nel portale di Microsoft Defender.

È possibile usare le stesse query di ricerca delle minacce per creare regole di rilevamento personalizzate. Queste regole vengono eseguite automaticamente per verificare e quindi rispondere a sospette attività di violazione, computer non configurati correttamente e altri risultati.

La ricerca avanzata supporta query che controllano un set di dati più ampio proveniente da:

  • Microsoft Defender per endpoint
  • Microsoft Defender per Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender per identità
  • Microsoft Sentinel

Per usare la ricerca avanzata, attivare Microsoft Defender XDR. In alternativa, per usare la ricerca avanzata con Microsoft Sentinel, connettersi Microsoft Sentinel al portale di Defender.

Per altre informazioni sulla ricerca avanzata nei dati Microsoft Defender for Cloud Apps, vedere il video.

Ottenere l'accesso

Per usare la ricerca avanzata o altre funzionalità di Microsoft Defender XDR, è necessario un ruolo appropriato in Microsoft Entra ID. Informazioni sui ruoli e le autorizzazioni necessari per la ricerca avanzata.

Inoltre, l'accesso ai dati degli endpoint è determinato dalle impostazioni del controllo degli accessi in base al ruolo in Microsoft Defender per endpoint. Informazioni sulla gestione dell'accesso ai Microsoft Defender XDR.

Aggiornamento dei dati e frequenza di aggiornamento

I dati di rilevazine avanzata possono essere categorizzati in due tipi distinti, ognuno consolidato in modo diverso.

  • Dati relativi a eventi o attività— popola le tabelle relative ad avvisi, eventi di sicurezza, eventi di sistema e valutazioni di routine. La rilevazione avanzata riceve questi dati quasi subito dopo che i sensori che li raccolgono li trasmettono correttamente ai servizi cloud corrispondenti. Ad esempio, è possibile eseguire query sui dati degli eventi da sensori integri su workstation o controller di dominio quasi immediatamente dopo che sono disponibili in Microsoft Defender per endpoint e Microsoft Defender per identità.
  • Dati entità: popola le tabelle con informazioni su utenti e dispositivi. Questi dati provengono sia da origini dati relativamente statiche sia da origini dinamiche, ad esempio voci di Active Directory e registri eventi. Per fornire dati aggiornati, le tabelle vengono aggiornate con qualsiasi nuova informazione ogni 15 minuti, aggiungendo righe che potrebbero non essere completamente popolate. Ogni 24 ore, i dati vengono consolidati per inserire un record che contiene il set di dati più recente e completo su ogni entità.

Fuso orario

Query

I dati di ricerca avanzati usano il fuso orario UTC (Universal Time Coordinated). Screenshot dell'intervallo di tempo personalizzato.

Le query devono essere create in formato UTC.

Risultati

I risultati della ricerca avanzata vengono convertiti nel fuso orario impostato in Microsoft Defender XDR.

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.