Explorar busca avançada
A busca avançada é uma ferramenta de busca de ameaças baseada em consulta que permite que você explore até 30 dias de dados brutos. Você pode inspecionar eventos de forma proativa em sua rede para localizar indicadores de ameaça e entidades. O acesso flexível aos dados permite a busca irrestrita de ameaças conhecidas e potenciais.
Você pode usar as mesmas consultas de busca de ameaças para criar regras de detecção personalizadas. Essas regras são executadas automaticamente para verificar e responder a atividades suspeitas de violação, máquinas configuradas incorretamente e outras descobertas. A funcionalidade de busca avançada dá suporte a consultas que verificam um conjunto de dados mais amplo de:
Microsoft Defender para ponto de extremidade
Microsoft Defender para Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender para Identidade
Para usar a busca avançada, ative o Microsoft Defender XDR.
Atualização dos dados e frequência de atualização
Os dados da busca avançada podem ser categorizados em dois tipos distintos, cada um consolidado de maneira diferente.
Dados de eventos ou atividades – preenchem tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações rotineiras. A busca avançada recebe esses dados quase imediatamente após os sensores que os coletam os transmitirem com êxito aos serviços de nuvem correspondentes. Por exemplo, você pode consultar dados de eventos de sensores íntegros em estações de trabalho ou controladores de domínio quase imediatamente após estarem disponíveis no Microsoft Defender para Ponto de Extremidade e no Microsoft Defender para Identidade.
Dados de entidade – preenchem tabelas com informações sobre usuários e dispositivos. Esses dados são provenientes de fontes de dados relativamente estáticas e fontes dinâmicas, como logs de eventos e entradas do Active Directory. Para fornecer dados atualizados, as tabelas são atualizadas com todas as novas informações a cada 15 minutos, adicionando linhas que podem não estar totalmente preenchidas. A cada 24 horas, os dados são consolidados para inserir um registro que contém o conjunto de dados mais recente e mais abrangente sobre cada entidade.
Fuso horário
As informações de hora na busca avançada estão na zona UTC.
Esquema de dados
O esquema de busca avançada é composto por várias tabelas que fornecem informações de eventos ou então informações sobre dispositivos, alertas, identidades e outros tipos de entidade. Para criar com eficiência consultas que abranjam várias tabelas, você precisa entender as tabelas e as colunas no esquema de busca avançada.
Obter informações sobre o esquema
Ao construir consultas, use a referência de esquema interna para obter rapidamente as seguintes informações sobre cada tabela no esquema:
Descrição da tabela – o tipo de dados contidos na tabela e a origem desses dados.
Colunas – todas as colunas na tabela.
Tipos de ação – possíveis valores na coluna ActionType, que representa os tipos de evento com suporte na tabela. Essas informações são fornecidas apenas para tabelas que contêm informações de eventos.
Consulta de exemplo – exemplos de consultas que apresentam como a tabela pode ser utilizada.
Acessar a referência de esquema
Para acessar rapidamente a referência de esquema, selecione a ação Exibir referência ao lado do nome da tabela na representação do esquema. Você também pode selecionar Referência de esquema para pesquisar uma tabela.
Aprender as tabelas de esquema
A referência a seguir lista todas as tabelas no esquema. Cada nome de tabela é vinculado a uma página que descreve os nomes de coluna para essa tabela. Os nomes de tabela e coluna também são listados na central de segurança como parte da representação de esquema na tela de busca avançada.
| Nome da tabela | Descrição |
|---|---|
| AlertEvidence | Arquivos, endereços IP, URLs, usuários ou dispositivos associados a alertas |
| AlertInfo | Alertas do Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Cloud App Security e Microsoft Defender para Identidade, incluindo informações de gravidade e categorização de ameaças |
| CloudAppEvents | Eventos envolvendo contas e objetos no Office 365 e em outros aplicativos e serviços de nuvem |
| DeviceEvents | Vários tipos de evento, incluindo aqueles disparados por controles de segurança, como o Windows Defender Antivírus e o Exploit Protection |
| DeviceFileCertificateInfo | Informações de certificado de arquivos assinados obtidas de eventos de verificação de certificado em pontos de extremidade |
| DeviceFileEvents | Criação de arquivo, modificação e outros eventos do sistema de arquivos |
| DeviceImageLoadEvents | Eventos de carregamento da DLL |
| DeviceInfo | Informações do computador, incluindo informações do SO |
| DeviceLogonEvents | Entradas e outros eventos de autenticação em dispositivos |
| DeviceNetworkEvents | Conexão de rede e eventos relacionados |
| DeviceNetworkInfo | Propriedades de rede dos dispositivos, incluindo adaptadores físicos, endereços IP e Mac, bem como redes e domínios conectados |
| DeviceProcessEvents | Criação de processos e eventos relacionados |
| DeviceRegistryEvents | Criação e modificação de entradas do Registro |
| DeviceTvmSecureConfigurationAssessment | Eventos de avaliação de Gerenciamento de Ameaças e Vulnerabilidades, indicando o status de várias configurações de segurança em dispositivos |
| DeviceTvmSecureConfigurationAssessmentKB | Base de dados de conhecimento de várias configurações de segurança usadas pelo Gerenciamento de Ameaças e Vulnerabilidades para avaliar dispositivos; inclui mapeamentos para vários padrões e parâmetros de comparação |
| DeviceTvmSoftwareInventory | O inventário de software instalado em dispositivos, incluindo suas informações de versão e status de fim do suporte |
| DeviceTvmSoftwareVulnerabilities | Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que resolvem cada vulnerabilidade |
| DeviceTvmSoftwareVulnerabilitiesKB | Base de dados de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente |
| EmailAttachmentInfo | Informações sobre arquivos anexados a emails |
| EmailEvents | Eventos de email do Microsoft 365, incluindo eventos de bloqueio e entrega de email |
| EmailPostDeliveryEvents | Eventos de segurança que ocorrem após a entrega, depois que Microsoft 365 entregou os emails para a caixa de correio do destinatário |
| EmailUrlInfo | Informações sobre URLs em emails |
| IdentityDirectoryEvents | Eventos que envolvem um controlador de domínio local executando o AD (Active Directory). Esta tabela aborda uma variedade de eventos relacionados à identidade e eventos do sistema no controlador de domínio. |
| IdentityInfo | Informações da conta de várias fontes, incluindo o Microsoft Entra ID |
| IdentityLogonEvents | Eventos de autenticação no Active Directory e nos Serviços Online Microsoft |
| IdentityQueryEvents | Consultas para objetos do Active Directory, como usuários, grupos, dispositivos e domínios |
Detecções personalizadas
Com as detecções personalizadas, você pode monitorar de forma proativa e responder a vários eventos e estados do sistema, incluindo atividade suspeita de violação e pontos de extremidade configurados incorretamente. Isso é possibilitado por regras de detecção personalizáveis, que disparam automaticamente alertas e ações de resposta.
As detecções personalizadas funcionam com a busca avançada, que fornece uma linguagem de consulta poderosa e flexível que abrange um amplo conjunto de informações de eventos e sistemas da sua rede. Você pode defini-las para execução em intervalos regulares, para gerar alertas e para realizar ações de resposta sempre que houver correspondências.
As detecções personalizadas fornecem:
Alertas para detecções baseadas em regras criadas a partir de consultas de busca avançada
Ações de resposta automática que se aplicam a arquivos e dispositivos
Criar regras de detecção
Para criar regras de detecção:
1. Prepare a consulta.
Na Central de Segurança do Microsoft Defender, vá para Busca avançada e selecione uma consulta existente ou crie uma consulta. Ao usar uma nova consulta, execute-a para identificar erros e entender os possíveis resultados.
Importante
Para impedir que o serviço retorne muitos alertas, cada regra é limitada à geração de apenas 100 alertas sempre é executada. Antes de criar uma regra, ajuste sua consulta para evitar alertas de atividade normal e diária.
Para usar uma consulta em uma regra de detecção personalizada, a consulta deve retornar as seguintes colunas:
Timestamp
DeviceId
ReportId
Consultas simples, como aquelas que não usam o operador project ou summarize para personalizar ou agregar resultados, normalmente retornam essas colunas comuns.
Há várias maneiras de garantir que as consultas mais complexas retornem essas colunas. Por exemplo, se você preferir agregar e contar por DeviceId, ainda poderá retornar Timestamp e ReportId, obtendo-os do evento mais recente envolvendo cada dispositivo.
A consulta de exemplo abaixo conta o número de dispositivos exclusivos (DeviceId) com detecções de antivírus e usa isso para localizar somente os dispositivos com mais de cinco detecções. Para retornar o Timestamp mais recente e a ReportId correspondente, ela usa o operador summarize com a função arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Crie uma regra e informe os detalhes do alerta.
Com a consulta no editor de consultas, selecione Criar regra de detecção e especifique os seguintes detalhes de alerta:
Nome da detecção – nome da regra de detecção
Frequência – intervalo para executar a consulta e realizar a ação. Confira as diretrizes adicionais abaixo
Título do alerta – título exibido com alertas disparados pela regra
Severidade – risco potencial do componente ou atividade identificado pela regra.
Categoria – tipo de componente de ameaça ou atividade, se houver.
Técnicas do MITRE ATT&CK – uma ou mais técnicas de ataque identificadas pela regra como documentado na estrutura do MITRE ATT&CK. Esta seção não está disponível com determinadas categorias de alerta, como malware, ransomware, atividade suspeita e software indesejado
Descrição – mais informações sobre o componente ou a atividade identificada pela regra
Ações recomendadas – ações adicionais que os respondentes podem realizar em resposta a um alerta
3. Frequência da regra
Quando salva, uma nova regra de detecção personalizada é executada imediatamente e verifica se há correspondências dos últimos 30 dias de dados. Em seguida, a regra é executada novamente em intervalos fixos e durações de lookback com base na frequência escolhida:
A cada 24 horas – é executada a cada 24 horas, verificando os dados das últimas 30 horas
A cada 12 horas: é executado a cada 12 horas, verificando os dados das últimas 48 horas
A cada 3 horas: é executado a cada 3 horas, verificando os dados das últimas 12 horas
A cada hora: é executado de hora em hora, verificando os dados das últimas 4 horas
Contínuo (NRT) - executa continuamente, verificando dados de eventos à medida que são coletados e processados quase em tempo real (NRT)
Selecione a frequência que corresponde à proximidade com que você deseja monitorar as detecções e considere a capacidade da sua organização de responder aos alertas.
Observação
Definir uma detecção personalizada para ser executada na frequência NRT (Contínua) permite aumentar a capacidade da sua organização de identificar ameaças mais rapidamente.
4. Escolha as entidades afetadas.
Identifique as colunas nos resultados da consulta em que você espera encontrar a entidade principal afetada. Por exemplo, uma consulta pode retornar IDs de dispositivo e de usuário. Identificar quais dessas colunas representa a entidade afetada principal ajuda o serviço a agregar alertas relevantes, correlacionar incidentes e direcionar ações de resposta.
Você pode selecionar apenas uma coluna para cada tipo de entidade. As colunas que não são retornadas pela sua consulta não podem ser selecionadas.
5. Especifique as ações.
A regra de detecção personalizada pode executar ações automaticamente em arquivos ou dispositivos retornados pela consulta.
Ações em dispositivos
Estas ações são aplicadas aos dispositivos na coluna DeviceId dos resultados da consulta:
Isolar dispositivo – aplica o isolamento de rede completo, impedindo que o dispositivo se conecte a qualquer aplicativo ou serviço, exceto o serviço Defender para Ponto de Extremidade.
Coletar pacote de investigação – coleta informações do dispositivo em um arquivo ZIP.
Executar verificação antivírus – executa uma verificação completa do Microsoft Defender Antivírus no dispositivo
Iniciar investigação – inicia uma investigação automatizada no dispositivo
Ações em arquivos
Estas ações são aplicadas aos arquivos na coluna SHA1 ou InitiatingProcessSHA1 dos resultados da consulta:
Permitir/bloquear – adiciona automaticamente o arquivo à sua lista de indicadores personalizados para que ele sempre seja executado ou seja impedido de ser executado. Você pode definir o escopo dessa ação para que ela seja executada somente em grupos de dispositivos selecionados. Esse escopo é independente do escopo da regra.
Por o arquivo em quarentena – exclui o arquivo de seu local atual e coloca uma cópia em quarentena
6. Defina o escopo da regra.
Defina o escopo para especificar quais dispositivos são cobertos pela regra:
Todos os dispositivos
Grupos de dispositivos específicos
Somente os dados de dispositivos no escopo serão consultados. Além disso, as ações serão executadas somente nesses dispositivos.
7. Examine e ative a regra.
Depois de examinar a regra, selecione Criar para salvá-la. A regra de detecção personalizada é executada imediatamente. Ela é executada novamente com base na frequência configurada para verificar se há correspondências, gerar alertas e realizar ações de resposta.