Panoramica dei rilevamenti personalizzati
Con i rilevamenti personalizzati, è possibile monitorare e rispondere in modo proattivo a vari eventi e stati del sistema, tra cui sospetta attività di violazione e endpoint non configurati correttamente. I rilevamenti personalizzati sono regole di rilevamento personalizzabili che attivano automaticamente avvisi e azioni di risposta.
I rilevamenti personalizzati funzionano con la ricerca avanzata, che fornisce un linguaggio di query potente e flessibile che copre un ampio set di informazioni sugli eventi e sul sistema dalla rete. È possibile impostarli per l'esecuzione a intervalli regolari, generando avvisi ed eseguendo azioni di risposta ogni volta che ci sono corrispondenze.
I rilevamenti personalizzati offrono:
- Avvisi per i rilevamenti basati su regole compilati da query di ricerca avanzate
- Azioni di risposta automatica
L'ottimizzazione delle query nelle regole di rilevamento personalizzate è importante per evitare timeout e garantire l'efficienza. Sono disponibili diverse risorse che forniscono indicazioni sull'ottimizzazione delle query nelle procedure consigliate per le query di ricerca avanzata.
Vedere anche
- Creare e gestire regole di rilevamento personalizzate
- Procedure consigliate per query in Ricerca avanzata
- Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint
- API di sicurezza di Microsoft Graph per rilevamenti personalizzati
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.