Jaga proaktivt efter hot med avancerad jakt i Microsoft Defender

Avancerad jakt är ett frågebaserat verktyg för hotjakt där du kan utforska upp till 30 dagars rådata. Du kan proaktivt granska händelser i nätverket för att hitta hotindikatorer och entiteter. Den flexibla åtkomsten till data möjliggör obegränsad jakt på både kända och potentiella hot.

Avancerad jakt stöder två lägen, guidade och avancerade. Använd guidat läge om du ännu inte är bekant med Kusto-frågespråk (KQL) eller föredrar bekvämligheten med en frågebyggare. Använd avancerat läge om du är bekväm med att använda KQL för att skapa frågor från grunden.

Börja jaga genom att läsa Välj mellan guidade och avancerade lägen att jaga i Microsoft Defender-portalen.

Du kan använda samma hotjaktfrågor för att skapa anpassade identifieringsregler. Dessa regler körs automatiskt för att söka efter och sedan svara på misstänkt överträdelseaktivitet, felkonfigurerade datorer och andra resultat.

Avancerad jakt stöder frågor som kontrollerar en bredare datauppsättning som kommer från:

  • Microsoft Defender för Endpoint
  • Microsoft Defender för Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity
  • Microsoft Sentinel

Aktivera Microsoft Defender XDR om du vill använda avancerad jakt. Om du vill använda avancerad jakt med Microsoft Sentinel ansluter du Microsoft Sentinel till Defender-portalen.

Mer information om avancerad jakt i Microsoft Defender for Cloud Apps data finns i videon.

Hämta åtkomst

Om du vill använda avancerad jakt eller andra Microsoft Defender XDR funktioner behöver du en lämplig roll i Microsoft Entra ID. Läs mer om nödvändiga roller och behörigheter för avancerad jakt.

Dessutom bestäms din åtkomst till slutpunktsdata av rbac-inställningar (rollbaserad åtkomstkontroll) i Microsoft Defender för Endpoint. Läs mer om att hantera åtkomst till Microsoft Defender XDR.

Datauppdateringsfrekvens och uppdateringsfrekvens

Avancerade jaktdata kan kategoriseras i två olika typer, var och en konsolideras på olika sätt.

  • Händelse- eller aktivitetsdata – fyller i tabeller om aviseringar, säkerhetshändelser, systemhändelser och rutinmässiga utvärderingar. Avancerad jakt tar emot dessa data nästan omedelbart efter att sensorerna som samlar in dem framgångsrikt överför dem till motsvarande molntjänster. Du kan till exempel fråga händelsedata från felfria sensorer på arbetsstationer eller domänkontrollanter nästan omedelbart efter att de är tillgängliga på Microsoft Defender för Endpoint och Microsoft Defender for Identity.
  • Entitetsdata – fyller i tabeller med information om användare och enheter. Dessa data kommer från både relativt statiska datakällor och dynamiska källor, till exempel Active Directory-poster och händelseloggar. För att tillhandahålla nya data uppdateras tabellerna med ny information var 15:e minut och lägger till rader som kanske inte är helt ifyllda. Var 24:e timme konsolideras data för att infoga en post som innehåller den senaste, mest omfattande datauppsättningen om varje entitet.

Tidszon

Frågor

Avancerade jaktdata använder tidszonen UTC (Universal Time Coordinated). Skärmbild av anpassat tidsintervall.

Frågor ska skapas i UTC.

Resultat

Avancerade jaktresultat konverteras till tidszonsuppsättningen i Microsoft Defender XDR.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.