Używanie zapytań udostępnionych w zaawansowanym wyszukiwaniu zagrożeń

• Dotyczy:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Zaawansowane zapytania dotyczące wyszukiwania zagrożeń mogą być udostępniane użytkownikom w tej samej organizacji. Możesz również zapisywać zapytania, które są dostępne tylko dla Ciebie. Możesz również znaleźć zapytania społeczności, które są udostępniane publicznie w usłudze GitHub. Te zapisane zapytania umożliwiają szybkie realizowanie konkretnych scenariuszy wyszukiwania zagrożeń bez konieczności pisania zapytań od podstaw.

Na karcie Zapytania w zaawansowanym wyszukiwaniu można znaleźć menu rozwijane dla zapytań udostępnionych, moje zapytania i zapytania społeczności. Możesz wybrać strzałkę skierowaną w dół, aby rozwinąć menu.

Zapisywanie, modyfikowanie i udostępnianie zapytania

Możesz zapisać nowe lub istniejące zapytanie, aby było dostępne tylko dla Ciebie lub udostępnione innym użytkownikom w organizacji.

1. Utwórz lub zmodyfikuj zapytanie.

2. Kliknij przycisk listy rozwijanej Zapisz zapytanie i wybierz pozycję Zapisz jako.

3. Wprowadź nazwę zapytania.

   

4. Wybierz folder, w którym chcesz zapisać zapytanie.

   • Zapytania udostępnione — udostępnione wszystkim użytkownikom w organizacji
   • Moje zapytania — dostępne tylko dla Ciebie

5. Wybierz Zapisz.

Usuwanie lub zmienianie nazwy zapytania

1. Wybierz trzy kropki po prawej stronie zapytania, które chcesz zmienić lub usunąć.

   

2. Wybierz pozycję Usuń i potwierdź usunięcie. Możesz też wybrać pozycję Zmień nazwę i podaj nową nazwę zapytania.

Tworzenie bezpośredniego linku do zapytania

Aby wygenerować link, który otwiera zapytanie bezpośrednio w edytorze zaawansowanych zapytań wyszukiwania zagrożeń, sfinalizuj zapytanie i wybierz pozycję Udostępnij link.

Uzyskiwanie dostępu do zapytań społeczności w repozytorium GitHub

Badacze zabezpieczeń firmy Microsoft regularnie udostępniają zaawansowane zapytania dotyczące wyszukiwania zagrożeń w wyznaczonym repozytorium publicznym w usłudze GitHub. Udziały w tym repozytorium są przeglądane przed opublikowaniem. Aby współtworzyć zawartość, dołącz bezpłatnie do usługi GitHub.

Te zapytania można łatwo znaleźć również w menu rozwijanym Zapytania społeczności .

Zapytania społeczności są pogrupowane w foldery, takie jak Kampanie, Kolekcja, Uchylanie się od obrony i tym podobne. Dalsze informacje na temat zapytania są udostępniane jako komentarze w wierszu w samym zapytaniu.

Porada

Badacze zabezpieczeń firmy Microsoft udostępniają również zaawansowane zapytania dotyczące zagrożeń, których można użyć do lokalizowania działań i wskaźników związanych z pojawiającym się zagrożeniami. Te zapytania są udostępniane w ramach raportów analizy zagrożeń w Microsoft Defender XDR.

Tematy pokrewne

• Omówienie zaawansowanego wyszukiwania zagrożeń
• Nauka języka zapytań
• Praca z wynikami zapytań
• Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
• Analiza schematu
• Stosowanie najlepszych rozwiązań dla zapytań

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.