使用高级搜寻的共享查询

可以与同一个组织内的用户共享高级搜寻查询。 还可以保存只有你才能访问的查询。 还可以在 GitHub 上找到公开共享的社区查询。 这些保存的查询使你能够快速执行特定的威胁搜寻方案,而无需从头开始编写查询。

在高级搜寻中的“查询”选项卡下,可以找到共享查询我的查询和社区查询的下拉菜单。 可以选择向下箭头以展开菜单。

Microsoft Defender门户中的共享查询、我的查询和社区查询

保存、修改和共享查询

可以保存新的或已有的查询,以便只有你可以访问它,或将它与组织内的其他用户共享。

  1. 创建或修改查询。

  2. 单击“保存查询”下拉按钮,并选择“另存为”。

  3. 输入查询的名称。

    即将保存在Microsoft Defender门户中的新查询

  4. 选择要将查询保存到的文件夹。

    • 共享查询 — 与组织内的所有用户共享
    • 我的查询 — 只有你可以访问
  5. 选择“保存”

删除或重命名查询

  1. 选择要重命名或删除的查询右侧的三个点。

    在Microsoft Defender门户中的“高级搜寻”页中重命名或删除查询

  2. 选择“删除”,并确认删除。 或者选择“重命名”,并为查询提供新名称。

若要生成直接在高级搜寻查询编辑器中打开查询的链接,请完成查询并选择“ 共享链接”。

访问 GitHub 存储库中的社区查询

Microsoft 安全研究人员定期在指定的 GitHub 公共存储库中共享高级搜寻查询。 在发布之前,将审查对此存储库的贡献。 免费加入 GitHub,即可参与。

还可以在 “社区 查询”下拉菜单中轻松找到这些查询。

Microsoft Defender门户中按文件夹组织的社区查询

社区查询分组到 “市场活动”、“ 集合”、“ 防御规避”等文件夹中。 有关查询的详细信息在查询本身中以内联注释的形式提供。

提示

此外,Microsoft 研究人员还提供了高级搜寻查询,你可以使用它们查找与存在的威胁关联的活动和指示器。 这些查询作为 Microsoft Defender XDR 中威胁分析报告的一部分提供。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区