Benutzerdefinierte Erkennungen – Übersicht
Mit benutzerdefinierten Erkennungen können Sie verschiedene Ereignisse und Systemzustände proaktiv überwachen und darauf reagieren, einschließlich vermuteter Sicherheitsverletzungsaktivitäten und falsch konfigurierter Endpunkte. Benutzerdefinierte Erkennungen sind anpassbare Erkennungsregeln, die automatisch Warnungen und Reaktionsaktionen auslösen.
Benutzerdefinierte Erkennungen funktionieren mit der erweiterten Suche, die eine leistungsstarke, flexible Abfragesprache bietet, die eine breite Palette von Ereignis- und Systeminformationen aus Ihrem Netzwerk abdeckt. Sie können festlegen, dass sie in regelmäßigen Abständen ausgeführt werden, Warnungen generieren und bei Übereinstimmungen Rekonstruktionsmaßnahmen ergreifen.
Benutzerdefinierte Erkennungen bieten:
- Warnungen für regelbasierte Erkennungen, die aus erweiterten Huntingabfragen erstellt wurden
- Automatische Antwortaktionen
Die Optimierung Ihrer Abfragen in benutzerdefinierten Erkennungsregeln ist wichtig, um Timeouts zu vermeiden und Effizienz zu gewährleisten. Es sind mehrere Ressourcen verfügbar, die Anleitungen zur Optimierung Ihrer Abfragen unter Bewährte Methoden für Erweiterte Suchabfragen bieten.
Siehe auch
- Erstellen und Verwalten von benutzerdefinierten Erkennungsregeln
- Bewährte Methoden für Erweiterte Suchanfragen
- Migrieren erweiterter Suchabfragen aus Microsoft Defender for Endpoint
- Microsoft Graph-Sicherheits-API für benutzerdefinierte Erkennungen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.