Wykrywanie niestandardowe — omówienie
Dzięki wykrywaniu niestandardowemu można proaktywnie monitorować różne zdarzenia i stany systemu oraz reagować na nie, w tym na podejrzenie naruszenia zabezpieczeń i błędnie skonfigurowane punkty końcowe. Wykrywanie niestandardowe to dostosowywalne reguły wykrywania, które automatycznie wyzwalają alerty i akcje reagowania.
Wykrywanie niestandardowe współpracuje z zaawansowanym wyszukiwaniem zagrożeń, które zapewnia zaawansowany, elastyczny język zapytań, który obejmuje szeroki zestaw informacji o zdarzeniach i systemach z sieci. Można je ustawić tak, aby były uruchamiane w regularnych odstępach czasu, generując alerty i podejmując akcje reagowania za każdym razem, gdy występują dopasowania.
Wykrywanie niestandardowe zapewnia:
- Alerty dotyczące wykrywania opartego na regułach utworzonego na podstawie zaawansowanych zapytań wyszukiwania zagrożeń
- Akcje automatycznej odpowiedzi
Optymalizacja zapytań w niestandardowych regułach wykrywania jest ważna w unikaniu limitów czasu i zapewnianiu wydajności. Dostępnych jest kilka zasobów, które zawierają wskazówki dotyczące optymalizacji zapytań w artykule Zaawansowane najlepsze rozwiązania dotyczące zapytań wyszukiwania zagrożeń.
Zobacz też
- Tworzenie niestandardowych reguł wykrywania i zarządzanie nimi
- Zaawansowane najlepsze rozwiązania dotyczące zapytań dotyczących wyszukiwania zagrożeń
- Migrowanie zaawansowanych zapytań dotyczących wyszukiwania zagrożeń z Ochrona punktu końcowego w usłudze Microsoft Defender
- Interfejs API zabezpieczeń programu Microsoft Graph na potrzeby wykrywania niestandardowego
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.