Procurar proativamente ameaças com investigação avançada em Microsoft Defender

A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de dados não processados. Pode inspecionar proativamente eventos na sua rede para localizar indicadores e entidades de ameaças. O acesso flexível aos dados permite uma investigação sem restrições para ameaças conhecidas e potenciais.

A investigação avançada suporta dois modos, guiados e avançados. Utilize o modo guiado se ainda não estiver familiarizado com Linguagem de Pesquisa Kusto (KQL) ou preferir a conveniência de um construtor de consultas. Utilize o modo avançado se estiver familiarizado com a utilização do KQL para criar consultas de raiz.

Para começar a investigar, leia Escolher entre modos guiados e avançados para investigar no portal do Microsoft Defender.

Pode utilizar as mesmas consultas de investigação de ameaças para criar regras de deteção personalizadas. Estas regras são executadas automaticamente para verificar e, em seguida, responder a atividades suspeitas de violação, máquinas configuradas incorretamente e outras conclusões.

A investigação avançada suporta consultas que verificam um conjunto de dados mais amplo proveniente de:

  • Microsoft Defender para Endpoint
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Identidade
  • Microsoft Sentinel

Para utilizar a investigação avançada, ative Microsoft Defender XDR. Em alternativa, para utilizar a investigação avançada com Microsoft Sentinel, ligue Microsoft Sentinel ao portal do Defender.

Para obter mais informações sobre a investigação avançada em dados Microsoft Defender for Cloud Apps, veja o vídeo.

Obter acesso

Para utilizar a investigação avançada ou outras capacidades de Microsoft Defender XDR, precisa de uma função adequada no Microsoft Entra ID. Leia sobre as funções e permissões necessárias para investigação avançada.

Além disso, o acesso aos dados de ponto final é determinado pelas definições de controlo de acesso baseado em funções (RBAC) no Microsoft Defender para Endpoint. Leia sobre como gerir o acesso ao Microsoft Defender XDR.

Atualização de dados e frequência de atualização

Os dados de investigação avançados podem ser categorizados em dois tipos distintos, cada um consolidado de forma diferente.

  • Dados de eventos ou atividades — preenche tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações de rotina. A investigação avançada recebe estes dados quase imediatamente após os sensores que os recolhem transmitirem com êxito para os serviços cloud correspondentes. Por exemplo, pode consultar dados de eventos de sensores em bom estado de funcionamento em estações de trabalho ou controladores de domínio quase imediatamente após estarem disponíveis em Microsoft Defender para Endpoint e Microsoft Defender para Identidade.
  • Dados de entidade — preenche tabelas com informações sobre utilizadores e dispositivos. Estes dados são provenientes de origens de dados relativamente estáticas e de origens dinâmicas, como entradas do Active Directory e registos de eventos. Para fornecer dados novos, as tabelas são atualizadas com novas informações a cada 15 minutos, adicionando linhas que podem não estar totalmente preenchidas. A cada 24 horas, os dados são consolidados para inserir um registo que contém o conjunto de dados mais recente e abrangente sobre cada entidade.

Fuso horário

Consultas

Os dados de investigação avançados utilizam o fuso horário UTC (Universal Time Coordinated). Captura de ecrã do intervalo de tempo personalizado.

As consultas devem ser criadas em UTC.

Resultados

Os resultados de investigação avançados são convertidos no fuso horário definido no Microsoft Defender XDR.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.