Escolher entre modos guiados e avançados para procurar no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Pode encontrar a página de investigação avançada ao aceder à barra de navegação à esquerda no portal do Microsoft Defender e selecionar Investigação>Avançada. Se a barra de navegação estiver fechada, selecione o 
.
Na página de investigação avançada , são suportados dois modos:
- Modo guiado – para consultar com o construtor de consultas
- Modo avançado – para consultar com o editor de consultas com Linguagem de Consulta Kusto (KQL)
A diferença main entre os dois modos é que o modo guiado não requer que o caçador saiba o KQL para consultar a base de dados, enquanto o modo avançado requer conhecimentos de KQL.
O modo guiado apresenta um construtor de consultas que tem um estilo de bloco modular, visual e fácil de utilizar para construir consultas através de menus pendentes que contêm filtros e condições disponíveis. Para utilizar o modo guiado, consulte Introdução ao modo de investigação guiada.
O modo avançado inclui uma área do editor de consultas onde os utilizadores podem criar consultas de raiz. Para utilizar o modo avançado, veja Introdução ao modo de investigação avançado.
Introdução ao modo de investigação guiada
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Quando abre a página de investigação avançada pela primeira vez após a disponibilização da investigação guiada, é convidado a fazer a visita guiada para saber mais sobre as diferentes partes da página, como os separadores e as áreas de consulta.
Para fazer a visita guiada, selecione Fazer apresentação quando esta faixa for apresentada:
Siga as bolhas de ensino azuis que aparecem ao longo da página e selecione Seguinte para passar de um passo para o outro.
Pode ver a apresentação novamente em qualquer altura ao aceder a Recursos> de ajudaSaiba mais e selecione Fazer a apresentação.
Em seguida, pode começar a criar a sua consulta para procurar ameaças. Os seguintes artigos podem ajudá-lo a tirar o máximo partido da investigação no modo guiado:
| Meta de aprendizagem | Descrição | Recurso |
|---|---|---|
| Criar a sua primeira consulta | Aprenda as noções básicas do construtor de consultas, como especificar o domínio de dados e adicionar condições e filtros para o ajudar a criar uma consulta significativa. Saiba mais ao executar consultas de exemplo. | Criar consultas de investigação com o modo guiado |
| Saiba mais sobre as diferentes capacidades do construtor de consultas | Conheça os diferentes tipos de dados suportados e as capacidades do modo guiado para o ajudar a ajustar a consulta de acordo com as suas necessidades. | Refinar sua consulta no modo guiado |
| Saiba o que pode fazer com os resultados da consulta | Familiarize-se com a vista Resultados e o que pode fazer com os resultados gerados, como tomar medidas sobre os mesmos ou ligá-los a um incidente. |
-
Trabalhar com resultados de consulta no modo guiado - Tomar medidas nos resultados da consulta - Ligar os resultados da consulta a um incidente |
| Criar regras de deteção personalizadas | Entenda como você pode usar as consultas de busca avançada de ameaças para acionar alertas e executar ações de resposta automaticamente. |
-
Descrição geral das deteções personalizadas - Regras de deteção personalizadas |
Introdução ao modo de investigação avançado
Recomendamos que veja estes passos para começar rapidamente a investigação avançada:
| Meta de aprendizagem | Descrição | Recurso |
|---|---|---|
| Aprender o idioma | A busca avançada de ameaças é baseada na linguagem da consulta Kusto, suportando a mesma sintaxe e operadores. Comece a aprender a linguagem de consulta executando a primeira consulta. | Visão geral sobre a linguagem de consulta |
| Saiba como utilizar os resultados da consulta | Saiba mais sobre os gráficos e as várias maneiras de exibir ou exportar seus resultados. Explore como você pode ajustar rapidamente as consultas, fazer drill down para obter informações mais detalhadas e executar ações de resposta. |
-
Trabalhar com resultados de consulta no modo avançado - Tomar medidas nos resultados da consulta - Ligar os resultados da consulta a um incidente |
| Compreender o esquema | Obtenha uma compreensão de alto nível das tabelas no esquema e em suas colunas. Saiba onde procurar por dados ao criar suas consultas. |
-
Referência de esquema - Transição do Microsoft Defender para Ponto de Extremidade |
| Obter sugestões e exemplos de especialistas | Treine gratuitamente com guias dos especialistas da Microsoft. Explore coleções de consultas predefinidas que abrangem diferentes cenários de exploração de ameaças. |
-
Obter formação especializada - Utilizar consultas partilhadas - Ir caçar - Procurar ameaças entre dispositivos, e-mails, aplicações e identidades |
| Otimizar consultas e processar erros | Entenda como criar consultas eficientes e sem erros. |
-
Melhores práticas de consulta - Processar erros |
| Criar regras de deteção personalizadas | Entenda como você pode usar as consultas de busca avançada de ameaças para acionar alertas e executar ações de resposta automaticamente. |
-
Descrição geral das deteções personalizadas - Regras de deteção personalizadas |
Confira também
- Compreender o esquema
- Criar consultas de investigação com o modo guiado
- Aprender a linguagem de consulta
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.