Обзор настраиваемых обнаружений
С помощью пользовательских обнаружений можно упреждающе отслеживать различные события и состояния системы и реагировать на них, включая предполагаемую активность нарушения безопасности и неправильно настроенные конечные точки. Пользовательские обнаружения — это настраиваемые правила обнаружения, которые автоматически активируют оповещения и действия реагирования.
Пользовательские обнаружения работают с расширенной охотой, которая предоставляет мощный и гибкий язык запросов, который охватывает широкий набор событий и системных сведений из вашей сети. Вы можете настроить их на запуск с регулярными интервалами, чтобы создавать оповещения и предпринимать ответные действия при совпадениях.
Пользовательские обнаружения обеспечивают:
- Оповещения об обнаружении на основе правил, созданные на основе расширенных запросов охоты
- Действия автоматического реагирования
Оптимизация запросов в пользовательских правилах обнаружения важна для предотвращения тайм-аутов и обеспечения эффективности. Существует несколько ресурсов, которые предоставляют рекомендации по оптимизации запросов в разделе Рекомендации по расширенной охоте на запросы.
См. также
- Создание настраиваемых правил обнаружения и управление ими
- Рекомендации по использованию запросов расширенного выслеживания
- Перенос расширенных запросов охоты из Microsoft Defender для конечной точки
- API безопасности Microsoft Graph для пользовательских обнаружений
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.