Escolher entre modos guiados e avançados para procurar no Microsoft Defender XDR

Aplica-se a:

  • Microsoft Defender XDR

Pode encontrar a página de investigação avançada ao aceder à barra de navegação à esquerda no portal do Microsoft Defender e selecionar Investigação>Avançada. Se a barra de navegação estiver fechada, selecione o ícone de investigação ícone de investigação ícone de investigação.

Na página de investigação avançada , são suportados dois modos:

  • Modo guiado – para consultar com o construtor de consultas
  • Modo avançado – para consultar com o editor de consultas com Linguagem de Pesquisa Kusto (KQL)

A principal diferença entre os dois modos é que o modo guiado não requer que o caçador saiba o KQL para consultar a base de dados, enquanto o modo avançado requer conhecimentos de KQL.

O modo guiado apresenta um construtor de consultas que tem um estilo de bloco modular, visual e fácil de utilizar para construir consultas através de menus pendentes que contêm filtros e condições disponíveis. Para utilizar o modo guiado, consulte Introdução ao modo de investigação guiada.

O modo avançado inclui uma área do editor de consultas onde os utilizadores podem criar consultas de raiz. Para utilizar o modo avançado, veja Introdução ao modo de investigação avançado.

Introdução ao modo de investigação guiada

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Quando abre a página de investigação avançada pela primeira vez após a disponibilização da investigação guiada, é convidado a fazer a visita guiada para saber mais sobre as diferentes partes da página, como os separadores e as áreas de consulta.

Para fazer a visita guiada, selecione Fazer apresentação quando esta faixa for apresentada:

faixa a convidar o utilizador para fazer a apresentação

Siga as bolhas de ensino azuis que aparecem ao longo da página e selecione Seguinte para passar de um passo para o outro.

Pode ver a apresentação novamente em qualquer altura ao aceder a Recursos> de ajudaSaiba mais e selecione Fazer a apresentação.

Captura de ecrã dos recursos de ajuda

Em seguida, pode começar a criar a sua consulta para procurar ameaças. Os seguintes artigos podem ajudá-lo a tirar o máximo partido da investigação no modo guiado:

Objetivo de aprendizagem Descrição Recurso
Criar a sua primeira consulta Aprenda as noções básicas do construtor de consultas, como especificar o domínio de dados e adicionar condições e filtros para o ajudar a criar uma consulta significativa. Saiba mais ao executar consultas de exemplo. Criar consultas de investigação com o modo guiado
Saiba mais sobre as diferentes capacidades do construtor de consultas Conheça os diferentes tipos de dados suportados e as capacidades do modo guiado para o ajudar a ajustar a consulta de acordo com as suas necessidades. Refinar a sua consulta no modo orientado
Saiba o que pode fazer com os resultados da consulta Familiarize-se com a vista Resultados e o que pode fazer com os resultados gerados, como tomar medidas sobre os mesmos ou ligá-los a um incidente. - Trabalhar com resultados de consulta no modo guiado
- Tomar medidas nos resultados da consulta
- Ligar os resultados da consulta a um incidente
Criar regras de deteção personalizadas Compreenda como pode utilizar consultas de investigação avançadas para acionar alertas e efetuar ações de resposta automaticamente. - Descrição geral das deteções personalizadas
- Regras de deteção personalizadas

Introdução ao modo de investigação avançado

Recomendamos que veja estes passos para começar rapidamente a investigação avançada:

Objetivo de aprendizagem Descrição Recurso
Aprender o idioma A investigação avançada baseia-se na linguagem de consulta Kusto, suportando a mesma sintaxe e operadores. Comece a aprender a linguagem de consulta ao executar a sua primeira consulta. Descrição geral da linguagem de consulta
Saiba como utilizar os resultados da consulta Saiba mais sobre gráficos e várias formas de ver ou exportar os seus resultados. Explore como pode ajustar rapidamente as consultas, desagregar para obter informações mais ricas e tomar medidas de resposta. - Trabalhar com resultados de consulta no modo avançado
- Tomar medidas nos resultados da consulta
- Ligar os resultados da consulta a um incidente
Compreender o esquema Obtenha uma boa compreensão geral das tabelas no esquema e nas respetivas colunas. Saiba onde procurar dados ao construir as suas consultas. - Referência de esquema
- Transição do Microsoft Defender para Endpoint
Obter sugestões e exemplos de especialistas Prepare gratuitamente com guias de especialistas da Microsoft. Explore coleções de consultas predefinidas que abrangem diferentes cenários de investigação de ameaças. - Obter formação especializada
- Utilizar consultas partilhadas
- Ir caçar
- Procurar ameaças entre dispositivos, e-mails, aplicações e identidades
Otimizar consultas e processar erros Compreenda como criar consultas eficientes e sem erros. - Melhores práticas de consulta
- Processar erros
Criar regras de deteção personalizadas Compreenda como pode utilizar consultas de investigação avançadas para acionar alertas e efetuar ações de resposta automaticamente. - Descrição geral das deteções personalizadas
- Regras de deteção personalizadas

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.