探索高级搜寻

已完成

高级搜寻是一种基于查询的威胁搜寻工具,可用于浏览多达 30 天的原始数据。 你可以主动检查网络中的事件来查找威胁指标和实体。 通过灵活地访问数据,可以无限制地搜寻已知和潜在的威胁。

可使用相同的威胁搜寻查询来构建自定义检测规则。 这些规则会自动运行,以检查并响应可疑的违规活动、错误配置的计算机以及其他发现。 高级搜寻功能支持从以下位置检查更广泛数据集的查询:

  • 用于终结点的 Microsoft Defender

  • Microsoft Defender for Office 365

  • Microsoft Defender for Cloud Apps

  • Microsoft Defender for Identity

若要使用高级搜寻,请打开 Microsoft Defender XDR。

数据刷新和更新频率

高级搜寻数据可以分为两种不同的类型,每种类型的整合方式不同。

  • 事件或活动数据 - 填充有关警报、安全事件、系统事件和日常评估的表格。 高级搜寻几乎会在收集数据的传感器成功地将数据传输到相应的云服务之后立即接收这些数据。 例如,当 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity 上提供事件数据后,你几乎可以立即从工作站或域控制器上的正常传感器中查询这些事件数据。

  • 实体数据 - 使用有关用户和设备的信息来填充表。 这些数据既来自相对静态的数据源,也来自动态的数据源,例如 Active Directory 条目和事件日志。 为了提供新数据,系统每 15 分钟会使用任何信息更新表,添加可能未完全填充的行。 每 24 小时合并一次数据,以插入一条记录,其中包含有关每个实体的最新、最全面的数据集。

时区

高级搜寻中的时间信息位于 UTC 时区。

数据架构

高级搜寻架构由多个表组成,这些表提供事件信息或有关设备、警报、标识和其他实体类型的信息。 若要有效地生成跨多个表的查询,你需要了解高级搜寻架构中的表和列。

获取架构信息

构造查询时,请使用内置架构引用快速获取有关架构中每个表的以下信息:

  • 表说明 - 表中包含的数据的类型以及该数据的源。

  • 列 - 表中的所有列。

  • 操作类型 - ActionType 列中的可能值,表示表支持的事件类型。 此信息仅提供给包含事件信息的表。

  • 示例查询 - 对表的使用方式进行查询的示例查询。

访问架构引用

若要快速访问架构引用,请在架构表示形式中选择表名称旁边的“查看引用”操作。 还可以选择“架构引用”来搜索表。

了解架构表

以下引用列出了架构中的所有表。 每个表名都链接到描述该表的列名的页面。 表名和列名也作为高级搜寻屏幕上的架构表示形式的一部分列在安全中心。

表名 说明
AlertEvidence 与警报关联的文件、IP 地址、URL、用户或设备
AlertInfo 来自 Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Cloud App Security 和 Microsoft Defender for Identity 的警报,包括严重性信息和威胁分类
CloudAppEvents 涉及 Office 365 以及其他云应用和服务中的帐户和对象的事件
DeviceEve 多个事件类型,包括由安全控制(例如 Windows Defender 防病毒和攻击保护)触发的事件
DeviceFileCertificateInfo 从终结点上的证书验证事件获取的签名文件的证书信息
DeviceFileEvents 文件创建、修改和其他文件系统事件
DeviceImageLoadEvents DLL 加载事件
DeviceInfo 计算机信息,包括操作系统信息
DeviceLogonEvents 设备上的登录和其他身份验证事件
DeviceNetworkEvents 网络连接及相关事件
DeviceNetworkInfo 设备的网络属性,包括物理适配器、IP 和 MAC 地址,以及连接的网络和域
DeviceProcessEvents 进程创建及相关事件
DeviceRegistryEvents 注册表项的创建和修改
DeviceTvmSecureConfigurationAssessment 威胁和漏洞管理评估事件,指示设备上各种安全配置的状态
DeviceTvmSecureConfigurationAssessmentKB 威胁和漏洞管理用于评估设备的各种安全配置的知识库;包括到各种标准和基准的映射
DeviceTvmSoftwareInventory 设备上安装的软件清单,包括其版本信息和终止支持状态
DeviceTvmSoftwareVulnerabilities 在设备上找到的软件漏洞以及解决每个漏洞的可用安全更新列表
DeviceTvmSoftwareVulnerabilitiesKB 公开披露的漏洞的知识库,包括是否公开提供攻击代码
EmailAttachmentInfo 有关附加到电子邮件的文件的信息
EmailEvents Microsoft 365 电子邮件事件,包括电子邮件传递和阻止事件
EmailPostDeliveryEvents Microsoft 365 将电子邮件传送到收件人邮箱后发生的安全事件
EmailUrlInfo 有关电子邮件中的 URL 的信息
IdentityDirectoryEvents 涉及运行 Active Directory (AD) 的本地域控制器的事件。 此表涵盖了域控制器上的一系列与标识相关的事件和系统事件。
IdentityInfo 来自各种来源(包括 Microsoft Entra ID)的帐户信息
IdentityLogonEvents Active Directory 和 Microsoft 联机服务上的身份验证事件
IdentityQueryEvents 对用户、组、设备和域等 Active Directory 对象的查询

自定义检测

利用自定义检测,可以主动监视和响应各种事件和系统状态,包括可疑的违规活动和错误配置的终结点。 可通过可自定义的检测规则来执行此操作,这些规则可自动触发警报和响应操作。

自定义检测可与高级搜寻配合使用,它提供功能强大而又灵活的查询语言,可以涵盖来自网络的一系列事件和系统信息。 可以将它们设置为定期运行,在有匹配项时生成警报并执行响应操作。

自定义检测提供:

  • 根据高级搜寻查询构建的基于规则的检测警报

  • 适用于文件和设备的自动响应操作

创建检测规则

若要创建检测规则,请执行以下操作:

1.准备查询。

在 Microsoft Defender 安全中心中,转到“高级搜寻”,选择现有查询或创建新查询。 使用新查询时,请运行查询来识别错误并了解可能的结果。

重要

为了防止服务返回过多警报,每个规则在运行时仅生成 100 个警报。 创建规则之前,请对查询进行调整,以避免对正常的日常活动发出警报。

若要对自定义检测规则使用查询,查询必须返回以下列:

  • 时间戳

  • DeviceId

  • ReportId

简单的查询(例如不使用项目或汇总运算符来自定义或聚合结果的查询)通常会返回这些常见的列。

有多种方法可确保更复杂的查询返回这些列。 例如,如果想要按 DeviceId 进行聚合和计数,仍然可以通过从涉及每台设备的最新事件获取时间戳和 ReportId 来返回它们。

下面的示例查询使用防病毒检测来计算唯一设备 (DeviceId) 的数量,并使用它来仅查找具有五项检测以上的设备。 为返回最新的时间戳和相应的 ReportId,它对 arg_max 函数使用汇总运算符。

DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

2.创建新规则并提供警报详细信息。

使用查询编辑器中的查询,选择“创建检测规则”并指定以下警报详细信息:

  • 检测名称 - 检测规则的名称

  • 频率 - 运行查询和采取操作的时间间隔。 请参阅下文中的附加指南

  • 警报标题 - 由规则触发的警报显示的标题

  • 严重性 - 由规则识别的组件或活动的潜在风险。

  • 类别 - 威胁组件或活动的类型(如果有)。

  • MITRE ATT&CK 技术 - 由规则识别的一项或多项攻击技术,如 MITRE ATT&CK 框架中所述。 本部分不适用于某些警报类别,例如恶意软件、勒索软件、可疑活动和不需要的软件

  • 说明 - 有关规则识别的组件或活动的详细信息

  • 建议的操作 - 响应方响应警报可能会采取的其他操作

3. 规则频率

保存后,新的自定义检测规则会立即运行并检查过去 30 天数据中的匹配项。 然后,该规则将按固定的时间间隔再次运行,并根据所选的频率回顾持续时间:

  • 每 24 小时 - 每 24 小时运行一次,检查过去 30 天内的数据

  • 每 12 小时 - 每 12 小时运行一次,检查过去 48 小时内的数据

  • 每 3 小时 - 每 3 小时运行一次,检查过去 12 小时内的数据

  • 每小时 - 每小时运行一次,检查过去 4 小时内的数据

  • 连续 (NRT) - 连续运行,在近乎实时 (NRT) 收集和处理事件时,检查事件中的数据

选择与要监视检测的程度匹配的频率,并考虑组织响应警报的能力。

注意

将自定义检测设置为以连续(NRT)频率运行,便于组织提高快速识别威胁的能力。

4. 选择受影响的实体。

确定查询结果中预期找到主要受影响或影响的实体的列。 例如,查询可能会同时返回设备 ID 和用户 ID。 确定这三列中的哪一列代表主要受影响的实体可帮助服务聚合相关警报、关联事件和目标响应操作。

对于每个实体类型,只能选择一列。 无法选择不是由查询返回的列。

5. 指定操作。

自定义检测规则可以对查询返回的文件或设备自动执行操作。

对设备执行的操作

这些操作将应用于查询结果的 DeviceId 列中的设备:

  • 隔离设备 - 应用完全网络隔离,阻止设备连接到任何应用程序或服务(Defender for Endpoint 服务除外)。

  • 收集调查包 - 以 ZIP 文件的方式收集设备信息。

  • 运行防病毒扫描 - 在设备上执行完整的 Microsoft Defender 防病毒扫描

  • 发起调查 - 在设备上启动自动调查

对文件执行的操作

这些操作将应用于 SHA1 格式的文件或查询结果的 InitiatingProcessSHA1 列:

  • 允许/阻止 - 自动将文件添加到自定义指示器列表,以便始终允许或阻止其运行。 你可以设置此操作的范围,以使其仅对所选的设备组执行。 此范围与规则的范围无关。

  • 隔离文件 - 从当前位置删除文件,并将其副本放入隔离区

6. 设置规则范围。

设置范围以指定规则涵盖的设备:

  • 所有设备

  • 特定设备组

只会查询范围内设备中的数据。 此外,只会在这些设备上执行操作。

7. 查看并启用规则。

查看规则后,选择“创建”以保存规则。 自定义检测规则会立即运行。 它会根据配置的频率再次运行,以检查匹配项、生成警报和采取响应操作。