Esplorare la ricerca avanzata
La ricerca avanzata è uno strumento per la ricerca delle minacce basato su query che consente di esplorare fino a 30 giorni di dati non elaborati. È possibile controllare in modo proattivo eventi nella rete per localizzare indicatori ed entità di minaccia. L'accesso flessibile ai dati consente la ricerca senza vincoli di minacce sia note che potenziali.
È possibile usare le stesse query di ricerca delle minacce per creare regole di rilevamento personalizzate. Queste regole vengono eseguite automaticamente per verificare e quindi rispondere all'attività di violazione sospetta, ai computer configurati in modo errato e ad altri risultati. La funzionalità di ricerca avanzata supporta query che controllano un set di dati più ampio da:
Microsoft Defender per endpoint
Microsoft Defender per Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender per identità
Per usare la ricerca avanzata, attivare Microsoft Defender XDR.
Aggiornamento dei dati e frequenza di aggiornamento
I dati di rilevazine avanzata possono essere categorizzati in due tipi distinti, ognuno consolidato in modo diverso.
Dati dell'evento o dell'attività - Questi dati popolano le tabelle relative ad avvisi, eventi di sicurezza, eventi di sistema e valutazioni di routine. La rilevazione avanzata riceve questi dati quasi subito dopo che i sensori che li raccolgono li trasmettono correttamente ai servizi cloud corrispondenti. Ad esempio, è possibile eseguire query sui dati degli eventi da sensori integri su workstation o controller di dominio quasi immediatamente dopo che sono disponibili in Microsoft Defender per endpoint e Microsoft Defender per identità.
Dati dell'entità: questi dati popolano le tabelle con informazioni su utenti e dispositivi. Questi dati provengono sia da origini dati relativamente statiche sia da origini dinamiche, ad esempio voci di Active Directory e registri eventi. Per fornire dati aggiornati, le tabelle vengono aggiornate con qualsiasi nuova informazione ogni 15 minuti, aggiungendo righe che potrebbero non essere completamente popolate. Ogni 24 ore, i dati vengono consolidati per inserire un record contenente il set di dati più recente e più completo per ogni entità.
Time zone
Le informazioni sull'ora nella ricerca avanzata si trovano nell'area UTC.
Schema dati
Lo schema di ricerca avanzato è costituito da più tabelle che forniscono informazioni sugli eventi o informazioni su dispositivi, avvisi, identità e altri tipi di entità. Per creare in modo efficace query che si estendono su più tabelle, è necessario comprendere le tabelle e le colonne nello schema di ricerca avanzata.
Ottenere le informazioni sullo schema
Durante la creazione di query usare il riferimento allo schema predefinito per ottenere rapidamente le informazioni seguenti su ogni tabella presente nello schema:
Descrizione della tabella: tipo di dati contenuti nella tabella e origine di tali dati.
Colonne: tutte le colonne presenti nella tabella.
Tipi di azione: valori possibili nella colonna ActionType che rappresentano i tipi di evento supportati dalla tabella. Queste informazioni vengono fornite solo per le tabelle che contengono informazioni sugli eventi.
Query di esempio: query di esempio che mostrano l'utilizzo della tabella.
Accedere al riferimento allo schema
Per accedere rapidamente al riferimento allo schema, selezionare l'azione Visualizza riferimento accanto al nome della tabella nella rappresentazione dello schema. È anche possibile selezionare Riferimento agli schemi per cercare una tabella.
Informazioni sulle tabelle dello schema
L'elenco seguente fornisce informazioni su tutte le tabelle presenti nello schema. Ogni nome di tabella include il collegamento a una pagina che descrive i nomi di colonna per tale tabella. I nomi di tabella e colonna sono elencati anche nel Centro sicurezza e fanno parte della rappresentazione dello schema nella schermata di ricerca avanzata.
| Nome tabella | Descrizione |
|---|---|
| AlertEvidence | File, indirizzi IP, URL, utenti o dispositivi associati agli avvisi |
| AlertInfo | Avvisi da Microsoft Defender per endpoint, Microsoft Defender per Office 365, Microsoft Cloud App Security e Microsoft Defender per identità, incluse le informazioni sulla gravità e la categorizzazione delle minacce |
| CloudAppEvents | Eventi che coinvolgono account e oggetti in Office 365 e altre app cloud e servizi |
| DeviceEvents | Eventi di vario tipo, inclusi gli eventi attivati da controlli di sicurezza, ad esempio Antivirus Windows Defender e Protezione dagli exploit |
| DeviceFileCertificateInfo | Informazioni sui certificati dei file firmati ottenute dagli eventi di verifica dei certificati negli endpoint |
| DeviceFileEvents | Creazione, modifica di file e altri eventi del file system |
| DeviceImageLoadEvents | Eventi di caricamento DLL |
| DeviceInfo | Informazioni sul computer, incluse quelle sul sistema operativo |
| DeviceLogonEvents | Accessi e altri eventi di autenticazione nei dispositivi |
| DeviceNetworkEvents | Connessione di rete ed eventi correlati |
| DeviceNetworkInfo | Proprietà di rete dei dispositivi, inclusi schede fisiche, indirizzi IP e MAC, nonché reti e domini connessi |
| DeviceProcessEvents | Creazione di processi ed eventi correlati |
| DeviceRegistryEvents | Creazione e modifica di voci del Registro di sistema |
| DeviceTvmSecureConfigurationAssessment | Eventi di valutazione di Threat & Vulnerability Management, che indicano lo stato di varie configurazioni di sicurezza nei dispositivi |
| DeviceTvmSecureConfigurationAssessmentKB | Knowledge base di varie configurazioni di sicurezza usate da Threat & Vulnerability Management per valutare i dispositivi; include mapping a diversi standard e benchmark |
| DeviceTvmSoftwareInventory | Inventario del software installato nei dispositivi, incluse le informazioni sulla versione e lo stato di fine del supporto |
| DeviceTvmSoftwareVulnerabilities | Vulnerabilità del software rilevate nei dispositivi ed elenco degli aggiornamenti della sicurezza disponibili che risolvono le vulnerabilità rilevate |
| DeviceTvmSoftwareVulnerabilitiesKB | Knowledge base delle vulnerabilità divulgate pubblicamente, inclusa l'indicazione dell'eventuale disponibilità pubblica del codice di exploit |
| EmailAttachmentInfo | Informazioni sui file allegati ai messaggi di posta elettronica |
| EmailEvents | Eventi di posta elettronica di Microsoft 365, inclusi gli eventi di recapito e di blocco dei messaggi |
| EmailPostDeliveryEvents | Eventi di sicurezza che si verificano dopo il recapito, ovvero dopo che Microsoft 365 ha recapitato i messaggi di posta elettronica alla cassetta postale del destinatario |
| EmailUrlInfo | Informazioni sugli URL nei messaggi di posta elettronica |
| IdentityDirectoryEvents | Eventi che coinvolgono un controller di dominio locale che esegue Active Directory (AD). Questa tabella illustra un intervallo di eventi ed eventi di sistema correlati all'identità nel controller di dominio. |
| IdentityInfo | Informazioni sull'account da varie origini, incluso Microsoft Entra ID |
| IdentityLogonEvents | Eventi di autenticazione in Active Directory e servizi online Microsoft |
| IdentityQueryEvents | Query per oggetti Active Directory, ad esempio utenti, gruppi, dispositivi e domini |
Rilevamenti personalizzati
Con i rilevamenti personalizzati è possibile monitorare in modo proattivo diversi eventi e stati del sistema, ad esempio le attività di violazione sospette e gli endpoint non configurati correttamente, e rispondere di conseguenza. A tale scopo, è possibile usare regole di rilevamento personalizzabili che attivano automaticamente avvisi e azioni di risposta.
I rilevamenti personalizzati funzionano con la ricerca avanzata, che fornisce un linguaggio di query potente e flessibile per un'ampia gamma di informazioni su eventi e sistema nella rete. È possibile impostarli per l'esecuzione a intervalli regolari, per generare avvisi e avviare azioni di risposta ogni volta che sono presenti corrispondenze.
I rilevamenti personalizzati forniscono:
Avvisi per i rilevamenti basati su regole creati da query di ricerca avanzata
Azioni di risposta automatiche che si applicano a file e dispositivi
Creare regole di rilevamento
Per creare regole di rilevamento:
1. Preparare la query.
In Microsoft Defender Security Center passare a Ricerca avanzata e selezionare una query esistente o crearne una nuova. Quando si usa una nuova query, eseguirla per identificare gli errori e comprendere i possibili risultati.
Importante
Per evitare che il servizio restituisca troppi avvisi, per ogni regola è previsto un massimo di 100 avvisi ogni volta che viene eseguita. Prima di creare una regola, perfezionare la query per evitare che vengano generati avvisi per le normali attività quotidiane.
Per usare una query per una regola di rilevamento personalizzata, la query deve restituire le colonne seguenti:
Timestamp:
DeviceId
ReportId
Le query semplici, ad esempio quelle che non usano l'operatore project o summarize per personalizzare o aggregare i risultati, restituiscono in genere queste colonne comuni.
Ci sono diversi modi per assicurarsi che le query più complesse restituiscano queste colonne. Se. ad esempio, si preferisce eseguire l'aggregazione e il conteggio in base a DeviceId, è comunque possibile restituire le colonne Timestamp e ReportId dall'evento più recente che coinvolge ogni dispositivo.
La query di esempio seguente conta il numero di dispositivi univoci (DeviceId) con rilevamenti antivirus e lo usa per trovare solo i dispositivi con più di cinque rilevamenti. Per restituire il valore Timestamp più recente e il valore ReportId corrispondente, viene usato l'operatore summarize con la funzione arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Creare una nuova regola e fornire i dettagli dell'avviso.
Con la query nell'editor di query selezionare il comando per la creazione di una regola di rilevamento e specificare i dettagli seguenti per gli avvisi:
Nome rilevamento - Nome della regola di rilevamento
Frequenza - Intervallo per l'esecuzione della query e l'avvio di un'azione Vedere le informazioni aggiuntive seguenti
Titolo avviso - Titolo visualizzato con gli avvisi attivati dalla regola
Gravità - Rischio potenziale dell'attività o del componente identificato dalla regola
Categoria - Tipo di attività o componente di minaccia, se presente
Tecniche MITRE ATT&CK - Una o più tecniche di attacco identificate dalla regola, come documentato nel framework MITRE ATT&CK Questa sezione non è disponibile con determinate categorie di avviso, ad esempio malware, ransomware, attività sospette e software indesiderato
Descrizione - Altre informazioni sull'attività o sul componente identificato dalla regola
Azioni consigliate - Azioni aggiuntive che è possibile eseguire in risposta a un avviso
3. Frequenza della regola
Quando una nuova regola di rilevamento personalizzata viene salvata, viene eseguita direttamente e controlla la presenza di corrispondenze per gli ultimi 30 giorni di dati. La regola viene quindi eseguita di nuovo a intervalli fissi e con durate di ricerca posticipata in base alla frequenza scelta:
Ogni 24 ore - L'esecuzione avviene ogni 24 ore, controllando i dati degli ultimi 30 giorni
Ogni 12 ore, viene eseguito ogni 12 ore, controllando i dati delle ultime 48 ore
Ogni 3 ore, viene eseguito ogni 3 ore, controllando i dati delle ultime 12 ore
Ogni ora: viene eseguita ogni ora, controllando i dati delle ultime 4 ore
Continuous (NRT): viene eseguito in modo continuo, controllando i dati dagli eventi durante la raccolta e l'elaborazione quasi in tempo reale (NRT)
Selezionare la frequenza desiderata per il monitoraggio dei rilevamenti e prendere in considerazione la capacità dell'organizzazione di rispondere agli avvisi.
Nota
L'impostazione di un rilevamento personalizzato da eseguire in frequenza NRT (Continuous) consente di aumentare la capacità dell'organizzazione di identificare più rapidamente le minacce.
4. Scegliere le entità interessate.
Identificare le colonne nei risultati della query in cui si prevede di trovare l'entità principale interessata. Una query, ad esempio, può restituire sia l'ID dispositivo che quello utente. Identificando quale delle colonne rappresenta l'entità principale interessata si consente al servizio di aggregare gli avvisi rilevanti, mettere in correlazione gli eventi imprevisti e stabilire la destinazione per le azioni di risposta.
È possibile selezionare una sola colonna per ogni tipo di entità. Non è possibile selezionare le colonne che non vengono restituite dalla query.
5. Specificare le azioni.
La regola di rilevamento personalizzata può eseguire automaticamente azioni sui file o sui dispositivi restituiti dalla query.
Azioni sui dispositivi
Le azioni vengono applicate ai dispositivi nella colonna DeviceId dei risultati della query:
Isola il dispositivo - Applica l'isolamento rete completo, impedendo al dispositivo di connettersi a qualsiasi applicazione o servizio, ad eccezione del servizio Defender per endpoint.
Raccogli il pacchetto di indagine - Raccoglie le informazioni sul dispositivo in un file ZIP.
Esegui l'analisi antivirus - Esegue un'analisi completa di Antivirus Microsoft Defender sul dispositivo.
Avvia l'indagine - Avvia un'indagine automatizzata nel dispositivo.
Azioni sui file
Queste azioni vengono applicate ai file nella colonna SHA1 o InitiatingProcessSHA1 dei risultati della query:
Consenti/Blocca - Aggiunge automaticamente il file all'elenco di indicatori personalizzato in modo che la sua esecuzione sia sempre consentita o bloccata. È possibile impostare l'ambito di questa azione in modo che venga eseguita solo su gruppi di dispositivi selezionati. Questo ambito è indipendente dall'ambito della regola.
Quarantena file - Elimina il file dalla posizione corrente e inserisce una copia in quarantena
6. Impostare l'ambito della regola.
Impostare l'ambito per specificare quali dispositivi sono coperti dalla regola:
Tutti i dispositivi
Gruppi di dispositivi specifici
Le query verranno eseguite solo sui dati dei dispositivi nell'ambito. Anche le azioni verranno eseguite solo su tali dispositivi.
7. Esaminare e attivare la regola.
Dopo aver esaminato la regola, selezionare Crea per salvarla. La regola di rilevamento personalizzata verrà eseguita immediatamente. Verrà quindi eseguita di nuovo in base alla frequenza configurata per verificare la presenza di corrispondenze, generare avvisi e avviare azioni di risposta.