Utforska avancerad jakt
Avancerad jakt är ett frågebaserat verktyg för hotjakt där du kan utforska upp till 30 dagars rådata. Du kan proaktivt inspektera händelser i nätverket för att hitta hotindikatorer och entiteter. Den flexibla åtkomsten till data möjliggör obehindrat jakt på både kända och potentiella hot.
Du kan använda samma hotjaktfrågor för att skapa anpassade identifieringsregler. Dessa regler körs automatiskt för att söka efter och sedan svara på misstänkt överträdelseaktivitet, felkonfigurerade datorer och andra resultat. Den avancerade jaktfunktionen stöder frågor som kontrollerar en bredare datauppsättning från:
Microsoft Defender för slutpunkter
Microsoft Defender for Office 365
Microsoft Defender för Cloud Apps
Microsoft Defender for Identity
Om du vill använda avancerad jakt aktiverar du Microsoft Defender XDR.
Datas färskhet och uppdateringsfrekvens
Avancerade jaktdata kan kategoriseras i två olika typer, var och en konsoliderad på olika sätt.
Händelse- eller aktivitetsdata – fyller i tabeller om aviseringar, säkerhetshändelser, systemhändelser och rutinmässiga utvärderingar. Avancerad jakt tar emot dessa data nästan omedelbart efter att de sensorer som samlar in dem framgångsrikt överför dem till motsvarande molntjänster. Du kan till exempel köra frågor mot händelsedata från felfria sensorer på arbetsstationer eller domänkontrollanter nästan omedelbart efter att de är tillgängliga på Microsoft Defender för Endpoint och Microsoft Defender för identitet.
Entitetsdata – fyller i tabeller med information om användare och enheter. Dessa data kommer från både relativt statiska datakällor och dynamiska källor, till exempel Active Directory-poster och händelseloggar. För att tillhandahålla nya data uppdateras tabellerna med ny information var 15:e minut och lägger till rader som kanske inte är helt ifyllda. Var 24:e timme konsolideras data för att infoga en post som innehåller den senaste, mest omfattande datauppsättningen om varje entitet.
Time zone
Tidsinformation i avancerad jakt finns i UTC-zonen.
Dataschema
Det avancerade jaktschemat består av flera tabeller som ger antingen händelseinformation eller information om enheter, aviseringar, identiteter och andra entitetstyper. För att effektivt skapa frågor som sträcker sig över flera tabeller måste du förstå tabellerna och kolumnerna i det avancerade jaktschemat.
Hämta schemainformation
När du skapar frågor använder du den inbyggda schemareferensen för att snabbt få följande information om varje tabell i schemat:
Tabellbeskrivning – typ av data som finns i tabellen och källan till dessa data.
Kolumner – alla kolumner i tabellen.
Åtgärdstyper – möjliga värden i kolumnen ActionType som representerar de händelsetyper som stöds av tabellen. Den här informationen tillhandahålls endast för tabeller som innehåller händelseinformation.
Exempelfråga – exempelfrågor som innehåller hur tabellen kan användas.
Komma åt schemareferensen
Om du snabbt vill komma åt schemareferensen väljer du åtgärden Visa referens bredvid tabellnamnet i schemarepresentationen. Du kan också välja Schemareferens för att söka efter en tabell.
Lär dig schematabellerna
Följande referens visar alla tabeller i schemat. Varje tabellnamn länkar till en sida som beskriver kolumnnamnen för tabellen. Tabell- och kolumnnamn visas också i säkerhetscentret som en del av schemarepresentationen på den avancerade jaktskärmen.
| Tabellnamn | beskrivning |
|---|---|
| AlertEvidence | Filer, IP-adresser, URL:er, användare eller enheter som är associerade med aviseringar |
| AlertInfo | Aviseringar från Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Cloud App Security och Microsoft Defender för identitet, inklusive allvarlighetsgradsinformation och hotkategorisering |
| CloudAppEvents | Händelser som involverar konton och objekt i Office 365 och andra molnappar och tjänster |
| DeviceEvents | Flera händelsetyper, inklusive händelser som utlöses av säkerhetskontroller som Windows Defender Antivirus och exploateringsskydd |
| DeviceFileCertificateInfo | Certifikatinformation för signerade filer som hämtats från certifikatverifieringshändelser på slutpunkter |
| DeviceFileEvents | Skapa, ändra och andra filsystemhändelser |
| DeviceImageLoadEvents | DLL-inläsningshändelser |
| DeviceInfo | Datorinformation, inklusive OS-information |
| DeviceLogonEvents | Inloggningar och andra autentiseringshändelser på enheter |
| DeviceNetworkEvents | Nätverksanslutning och relaterade händelser |
| DeviceNetworkInfo | Nätverksegenskaper för enheter, inklusive fysiska kort, IP- och MAC-adresser samt anslutna nätverk och domäner |
| DeviceProcessEvents | Skapa processer och relaterade händelser |
| DeviceRegistryEvents | Skapa och ändra registerposter |
| DeviceTvmSecureConfigurationAssessment | Utvärderingshändelser för hot och sårbarhetshantering som anger status för olika säkerhetskonfigurationer på enheter |
| DeviceTvmSecureConfigurationAssessmentKB | Kunskapsbas för olika säkerhetskonfigurationer som används av Threat & Vulnerability Management för att utvärdera enheter; innehåller mappningar till olika standarder och riktmärken |
| DeviceTvmSoftwareInventory | Inventering av programvara som är installerad på enheter, inklusive deras versionsinformation och status för supportens slut |
| DeviceTvmSoftwareVulnerabilities | Programvarusårbarheter som finns på enheter och listan över tillgängliga säkerhetsuppdateringar som åtgärdar varje sårbarhet |
| DeviceTvmSoftwareVulnerabilitiesKB | Kunskapsbas för offentligt avslöjade sårbarheter, inklusive om exploateringskod är offentligt tillgänglig |
| EmailAttachmentInfo | Information om filer som är kopplade till e-postmeddelanden |
| EmailEvents | E-posthändelser i Microsoft 365, inklusive e-postleverans och blockerande händelser |
| EmailPostDeliveryEvents | Säkerhetshändelser som inträffar efter leverans efter att Microsoft 365 har levererat e-postmeddelandena till mottagarpostlådan |
| EmailUrlInfo | Information om URL:er för e-postmeddelanden |
| IdentityDirectoryEvents | Händelser som involverar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen beskriver ett antal identitetsrelaterade händelser och systemhändelser på domänkontrollanten. |
| IdentityInfo | Kontoinformation från olika källor, inklusive Microsoft Entra-ID |
| IdentityLogonEvents | Autentiseringshändelser i Active Directory och Microsoft onlinetjänster |
| IdentityQueryEvents | Frågor om Active Directory-objekt, till exempel användare, grupper, enheter och domäner |
Anpassade identifieringar
Med anpassade identifieringar kan du proaktivt övervaka och svara på olika händelser och systemtillstånd, inklusive misstänkt överträdelseaktivitet och felkonfigurerade slutpunkter. Detta möjliggörs genom anpassningsbara identifieringsregler som automatiskt utlöser aviseringar och svarsåtgärder.
Anpassade identifieringar fungerar med avancerad jakt, vilket ger ett kraftfullt, flexibelt frågespråk som täcker en bred uppsättning händelse- och systeminformation från nätverket. Du kan ange att de ska köras med jämna mellanrum, generera aviseringar och vidta svarsåtgärder när det finns matchningar.
Anpassade identifieringar ger:
Aviseringar för regelbaserade identifieringar som skapats från avancerade jaktfrågor
Automatiska svarsåtgärder som gäller för filer och enheter
Skapa identifieringsregler
Så här skapar du identifieringsregler:
1. Förbered frågan.
I Microsoft Defender Säkerhetscenter går du till Avancerad jakt och väljer en befintlig fråga eller skapar en ny fråga. När du använder en ny fråga kör du frågan för att identifiera fel och förstå möjliga resultat.
Viktigt!
För att förhindra att tjänsten returnerar för många aviseringar är varje regel begränsad till att endast generera 100 aviseringar när den körs. Innan du skapar en regel justerar du frågan för att undvika aviseringar för normal, daglig aktivitet.
Om du vill använda en fråga för en anpassad identifieringsregel måste frågan returnera följande kolumner:
Tidsstämpel
DeviceId
ReportId
Enkla frågor, till exempel sådana som inte använder projektet eller sammanfattar operatorn för att anpassa eller aggregera resultat, returnerar vanligtvis dessa vanliga kolumner.
Det finns olika sätt att se till att mer komplexa frågor returnerar dessa kolumner. Om du till exempel föredrar att aggregera och räkna efter DeviceId kan du fortfarande returnera Tidsstämpel och ReportId genom att hämta dem från den senaste händelsen som involverar varje enhet.
Exempelfrågan nedan räknar antalet unika enheter (DeviceId) med antivirusidentifieringar och använder detta för att bara hitta de enheter med fler än fem identifieringar. För att returnera den senaste tidsstämpeln och motsvarande ReportId använder den sammanfattningsoperatorn med funktionen arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Skapa en ny regel och ange aviseringsinformation.
Med frågan i frågeredigeraren väljer du Skapa identifieringsregel och anger följande aviseringsinformation:
Identifieringsnamn – namnet på identifieringsregeln
Frekvens – intervall för att köra frågan och vidta åtgärder. Se ytterligare vägledning nedan
Aviseringsrubrik – rubrik som visas med aviseringar som utlöses av regeln
Allvarlighetsgrad – potentiell risk för komponenten eller aktiviteten som identifieras av regeln.
Kategori – typ av hotkomponent eller aktivitet, om någon.
MITRE ATT&CK-tekniker – en eller flera attacktekniker som identifieras av regeln enligt beskrivningen i MITRE ATT&CK-ramverket. Det här avsnittet är inte tillgängligt med vissa aviseringskategorier, till exempel skadlig kod, utpressningstrojaner, misstänkt aktivitet och oönskad programvara
Beskrivning – mer information om komponenten eller aktiviteten som identifieras av regeln
Rekommenderade åtgärder – ytterligare åtgärder som svarare kan vidta som svar på en avisering
3. Regelfrekvens
När den sparas körs en ny anpassad identifieringsregel omedelbart och söker efter matchningar från de senaste 30 dagarnas data. Regeln körs sedan igen med fasta intervall och återställningsvaraktighet baserat på vilken frekvens du väljer:
Var 24:e timme – körs var 24:e timme och kontrollerar data från de senaste 30 dagarna
Var 12:e timme – körs var 12:e timme och kontrollerar data från de senaste 48 timmarna
Var 3:e timme – körs var 3:e timme och kontrollerar data från de senaste 12 timmarna
Varje timme – körs varje timme och kontrollerar data från de senaste 4 timmarna
Kontinuerlig (NRT) – körs kontinuerligt och kontrollerar data från händelser när de samlas in och bearbetas i nära realtid (NRT)
Välj den frekvens som matchar hur nära du vill övervaka identifieringar och ta hänsyn till organisationens förmåga att svara på aviseringarna.
Kommentar
Genom att ange en anpassad identifiering som ska köras i kontinuerlig (NRT) kan du öka organisationens möjlighet att identifiera hot snabbare.
4. Välj de påverkade entiteterna.
Identifiera kolumnerna i frågeresultatet där du förväntar dig att hitta den viktigaste berörda eller påverkade entiteten. En fråga kan till exempel returnera både enhets- och användar-ID:n. Genom att identifiera vilken av dessa kolumner som representerar den viktigaste påverkade entiteten kan tjänsten aggregera relevanta aviseringar, korrelera incidenter och målsvarsåtgärder.
Du kan bara välja en kolumn för varje entitetstyp. Det går inte att välja kolumner som inte returneras av frågan.
5. Ange åtgärder.
Din anpassade identifieringsregel kan automatiskt vidta åtgärder på filer eller enheter som returneras av frågan.
Åtgärder på enheter
Dessa åtgärder tillämpas på enheter i kolumnen DeviceId i frågeresultatet:
Isolera enheten – tillämpar fullständig nätverksisolering, vilket hindrar enheten från att ansluta till alla program eller tjänster, förutom Defender för Endpoint-tjänsten.
Samla in undersökningspaket – samlar in enhetsinformation i en ZIP-fil.
Kör antivirusgenomsökning – utför en fullständig Microsoft Defender Antivirus-genomsökning på enheten
Initiera undersökning – startar en automatiserad undersökning på enheten
Åtgärder för filer
Dessa åtgärder tillämpas på filer i kolumnen SHA1 eller InitieraProcessSHA1 i frågeresultatet:
Tillåt/blockera – lägger automatiskt till filen i din anpassade indikatorlista så att den alltid tillåts att köras eller blockeras från att köras. Du kan ange omfånget för den här åtgärden så att den endast tas på valda enhetsgrupper. Det här omfånget är oberoende av regelns omfång.
Karantänfil – tar bort filen från den aktuella platsen och placerar en kopia i karantän
6. Ange regelomfånget.
Ange omfånget för att ange vilka enheter som omfattas av regeln:
Alla enheter
Specifika enhetsgrupper
Endast data från enheter i omfånget efterfrågas. Dessutom kommer åtgärder endast att vidtas på dessa enheter.
7. Granska och aktivera regeln.
När du har granskat regeln väljer du Skapa för att spara den. Regeln för anpassad identifiering körs omedelbart. Den körs igen baserat på konfigurerad frekvens för att söka efter matchningar, generera aviseringar och vidta svarsåtgärder.