Scegliere tra modalità guidate e avanzate per la ricerca in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
È possibile trovare la pagina ricerca avanzata passando alla barra di spostamento sinistra nel portale di Microsoft Defender e selezionando Ricerca>ricerca avanzata. Se la barra di spostamento è compressa, selezionare
Nella pagina ricerca avanzata sono supportate due modalità:
- Modalità guidata : per eseguire query usando il generatore di query
- Modalità avanzata: per eseguire query usando l'editor di query usando Linguaggio di query Kusto (KQL)
La differenza principale tra le due modalità è che la modalità guidata non richiede al cacciatore di conoscere KQL per eseguire query sul database, mentre la modalità avanzata richiede conoscenze KQL.
La modalità guidata include un generatore di query con uno stile di blocco predefinito, visivo e facile da usare, per la creazione di query tramite menu a discesa contenenti filtri e condizioni disponibili. Per usare la modalità guidata, vedere Introduzione alla modalità di ricerca guidata.
La modalità avanzata offre un'area dell'editor di query in cui gli utenti possono creare query da zero. Per usare la modalità avanzata, vedere Introduzione alla modalità di ricerca avanzata.
Introduzione alla modalità di ricerca guidata
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Quando si apre la pagina di ricerca avanzata per la prima volta dopo aver reso disponibile la ricerca guidata, si è invitati a partecipare al tour per altre informazioni sulle diverse parti della pagina, ad esempio le schede e le aree di query.
Per eseguire il tour, selezionare Esegui tour quando viene visualizzato questo banner:
Seguire le bolle di insegnamento blu visualizzate nella pagina e selezionare Avanti per passare da un passaggio all'altro.
È possibile ripetere il tour in qualsiasi momento passando alle risorse della GuidaAltre informazioni> e selezionando Esegui il tour.
È quindi possibile iniziare a compilare la query per cercare le minacce. Gli articoli seguenti consentono di ottenere il massimo dalla ricerca in modalità guidata:
Obiettivo di formazione | Descrizione | Risorsa |
---|---|---|
Creare la prima query | Informazioni di base sul generatore di query, ad esempio la specifica del dominio dati e l'aggiunta di condizioni e filtri per creare una query significativa. Per altre informazioni, eseguire query di esempio. | Creare query di ricerca usando la modalità guidata |
Informazioni sulle diverse funzionalità del generatore di query | Informazioni sui diversi tipi di dati supportati e sulle funzionalità della modalità guidata per ottimizzare la query in base alle proprie esigenze. | Perfezionare la query in modalità guidata |
Informazioni sulle operazioni che è possibile eseguire con i risultati delle query | Acquisire familiarità con la visualizzazione Risultati e le operazioni che è possibile eseguire con i risultati generati, ad esempio come intervenire su di essi o collegarli a un evento imprevisto. |
-
Usare i risultati delle query in modalità guidata - Eseguire un'azione sui risultati della query - Collegare i risultati della query a un evento imprevisto |
Creare regole di rilevamento personalizzate | Informazioni su come usare le query di ricerca avanzate per attivare avvisi ed eseguire azioni di risposta automaticamente. |
-
Panoramica dei rilevamenti personalizzati - Regole di rilevamento personalizzate |
Introduzione alla modalità di ricerca avanzata
È consigliabile eseguire questi passaggi per iniziare rapidamente a usare la ricerca avanzata:
Obiettivo di formazione | Descrizione | Risorsa |
---|---|---|
Imparare la lingua | La ricerca avanzata è basata sul linguaggio di query Kusto, che supporta la stessa sintassi e gli stessi operatori. Iniziare ad apprendere il linguaggio di query eseguendone la prima. | Informazioni generali sul linguaggio di query |
Informazioni su come usare i risultati della query | Informazioni sui grafici e sui vari modi in cui è possibile visualizzare o esportare i risultati. Scopri come ottimizzare rapidamente le query, eseguire il drill-down per ottenere informazioni più dettagliate ed eseguire azioni di risposta. |
-
Usare i risultati delle query in modalità avanzata - Eseguire un'azione sui risultati della query - Collegare i risultati della query a un evento imprevisto |
Comprensione dello schema | È possibile ottenere una conoscenza buona e approfondita delle tabelle nello schema e delle relative colonne. Informazioni su dove cercare i dati durante la costruzione delle query. |
-
Informazioni di riferimento sullo schema - Transizione da Microsoft Defender per endpoint |
Ottenere suggerimenti ed esempi di esperti | Esegui gratuitamente il training con guide di esperti Microsoft. Esplorare le raccolte di query predefinite che coprono diversi scenari di ricerca delle minacce. |
-
Ottenere una formazione di esperti - Usare query condivise - Vai a caccia - Cercare le minacce tra dispositivi, messaggi di posta elettronica, app e identità |
Ottimizzare le query e gestire gli errori | Informazioni su come creare query efficienti e senza errori. |
-
Procedure consigliate per le query - Gestire gli errori |
Creare regole di rilevamento personalizzate | Informazioni su come usare le query di ricerca avanzate per attivare avvisi ed eseguire azioni di risposta automaticamente. |
-
Panoramica dei rilevamenti personalizzati - Regole di rilevamento personalizzate |
Vedere anche
- Comprendere lo schema
- Creare query di ricerca usando la modalità guidata
- Capire il linguaggio delle query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.