Procurar proativamente ameaças com investigação avançada em Microsoft Defender

A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de dados não processados. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais.

A investigação avançada suporta dois modos, guiados e avançados. Utilize o modo guiado se ainda não estiver familiarizado com Linguagem de Consulta Kusto (KQL) ou preferir a conveniência de um construtor de consultas. Utilize o modo avançado se estiver familiarizado com a utilização do KQL para criar consultas de raiz.

Para começar a investigar, leia Escolher entre modos guiados e avançados para investigar no portal do Microsoft Defender.

Pode utilizar as mesmas consultas de investigação de ameaças para criar regras de deteção personalizadas. Estas regras são executadas automaticamente para marcar e, em seguida, respondem a atividades suspeitas de violação, máquinas configuradas incorretamente e outras conclusões.

A investigação avançada suporta consultas que marcar um conjunto de dados mais amplo proveniente de:

  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Identidade
  • Microsoft Sentinel

Para utilizar a investigação avançada, ative Microsoft Defender XDR. Em alternativa, para utilizar a investigação avançada com Microsoft Sentinel, ligue Microsoft Sentinel ao portal do Defender.

Para obter mais informações sobre a investigação avançada em dados Microsoft Defender para Aplicativos de Nuvem, veja o vídeo.

Obter acesso

Para utilizar a investigação avançada ou outras capacidades de Microsoft Defender XDR, precisa de uma função adequada no Microsoft Entra ID. Leia sobre as funções e permissões necessárias para investigação avançada.

Além disso, o acesso aos dados de ponto final é determinado pelas definições de controlo de acesso baseado em funções (RBAC) no Microsoft Defender para Ponto de Extremidade. Leia sobre como gerir o acesso ao Microsoft Defender XDR.

Atualização de dados e frequência de atualização

Os dados de busca avançada podem ser categorizados em dois tipos distintos, cada um consolidado de forma diferente.

  • Dados de evento ou atividade— preenche tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações de rotina. A busca avançada recebe esses dados quase imediatamente depois que os sensores que os coletam os transmitem para os serviços de nuvem correspondentes. Por exemplo, pode consultar dados de eventos de sensores em bom estado de funcionamento em estações de trabalho ou controladores de domínio quase imediatamente após estarem disponíveis em Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Identidade.
  • Dados de entidade — preenche tabelas com informações sobre utilizadores e dispositivos. Esses dados vêm de fontes de dados relativamente estáticas e fontes dinâmicas, como entradas do Active Directory e logs de eventos. Para fornecer dados atualizados, as tabelas são atualizadas com novas informações a cada 15 minutos, adicionando linhas que podem não estar totalmente preenchidas. A cada 24 horas, os dados são consolidados para inserir um registro que contém o conjunto de dados mais recente e mais abrangente sobre cada entidade.

Fuso horário

Consultas

Os dados de investigação avançados utilizam o fuso horário UTC (Universal Time Coordinated). Captura de ecrã do intervalo de tempo personalizado.

As consultas devem ser criadas em UTC.

Resultados

Os resultados de investigação avançados são convertidos no fuso horário definido no Microsoft Defender XDR.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.