探索進階搜捕
進階搜捕是以查詢為基礎的威脅搜捕工具,可讓您探索多達 30 天的原始資料。 您可以主動檢查網路中的事件,以找出威脅指標和實體。 對資料的靈活存取可讓您不受限制地同時搜捕已知和潛在的威脅。
您可以使用相同的威脅搜尋查詢來建立自訂的偵測規則。 這些規則會自動執行來檢查疑似缺口活動、設定錯誤的電腦及其他結果,然後做出回應。 進階搜捕功能支援可從下列來源檢查更廣泛資料集的查詢:
適用於端點的 Microsoft Defender
適用於 Office 365 的 Microsoft Defender
Microsoft 雲端 App 安全性
適用於身分識別的 Microsoft Defender
若要使用進階搜捕,請開啟 Microsoft Defender 全面偵測回應。
資料有效期限和更新頻率
進階搜捕資料可以分類成兩種不同的類型,每種類型的合併方式不同。
事件或活動資料—在資料表中填入有關警示、安全性事件、系統事件和例行評量等內容。 在收集這些資料的感應器成功將資料傳輸至對應的雲端服務之後,進階搜捕幾乎會即時收到此資料。 例如,您可以在工作站或網域控制站上的良好感應器在適用於端點的 Microsoft Defender 和適用於身分識別的 Microsoft Defender 上可用後立即査詢它們的事件資料。
實體資料 - 在資料表中填入有關使用者和裝置的資訊。 此資料來自相對靜態資料來源和動態來源,例如 Active Directory 項目和事件記錄。 為了提供全新的資料,表格每 15 分鐘會更新一次任何新資訊,新增可能未完全填滿的資料列。 每 24 小時會合併一次資料,以插入包含每個實體最新且最完整資料集的一筆記錄。
Time zone
進階搜捕中的時間資訊是以 UTC 區域顯示。
資料結構描述
進階搜捕結構描述是由多個資料表所組成,可提供事件資訊或有關裝置、警示、身分識別及其他實體類型的資訊。 若要有效地建置跨越多個資料表的查詢,您必須了解進階搜捕結構描述中的資料表和資料行。
取得結構描述資訊
建構查詢時,請使用內建結構描述參考,快速取得結構描述中每個資料表的下列資訊:
資料表描述 - 資料表中包含的資料類型,以及該資料的來源。
資料行 - 資料表中的所有資料行。
動作類型 - ActionType 資料行中的可能值,代表資料表支援的事件類型。 只有包含事件資訊的資料表才會提供這項資訊。
範例查詢 - 說明如何利用資料表的範例查詢。
存取結構描述參考
若要快速存取結構描述參考,請選取結構描述表示中資料表名稱旁的 [檢視參考] 動作。 您也可以選取 [結構描述參考] 來搜尋資料表。
了解結構描述資料表
下列參考會列出結構描述中的所有資料表。 每個資料表名稱都會連結到描述該資料表之資料行名稱的頁面。 資料表和資料行名稱也會列於資訊安全中心,作為進階搜捕畫面上結構描述表示的一部分。
| 資料表名稱 | 描述 |
|---|---|
| AlertEvidence | 與警示相關聯的檔案、IP 位址、URL、使用者或裝置 |
| AlertInfo | 來自適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Cloud App Security 和適用於身分識別的 Microsoft Defender 的警示,包括嚴重性資訊和威脅分類 |
| CloudAppEvents | Office 365 以及其他雲端應用程式和服務中的帳戶和物件相關事件 |
| DeviceEvents | 多種事件類型,包括由 Windows Defender 防毒軟體和惡意探索保護等安全性控制項所觸發的事件 |
| DeviceFileCertificateInfo | 從端點的憑證驗證事件中取得的已簽署檔案憑證資訊 |
| 裝置檔案事件 | 檔案建立、修改及其他檔案系統事件 |
| DeviceImageLoadEvents | DLL 載入事件 |
| DeviceInfo | 電腦資訊,包括 OS 資訊 |
| DeviceLogonEvents | 裝置上的登入及其他驗證事件 |
| DeviceNetworkEvents | 網路連線及相關事件 |
| DeviceNetworkInfo | 裝置的網路屬性,包括實體介面卡、IP 和 MAC 位址,以及連線的網路和網域 |
| 裝置流程事件 | 流程建立及相關事件 |
| 裝置登錄事件 | 登錄項目的建立及修改 |
| DeviceTvmSecureConfigurationAssessment | 威脅與弱點管理評估事件,指出裝置上各種安全性設定的狀態 |
| DeviceTvmSecureConfigurationAssessmentKB | 威脅與弱點管理用來評估裝置的各種安全性設定知識庫;包含各種標準和基準的對應 |
| DeviceTvmSoftwareInventory | 清查裝置上安裝的軟體,包括其版本資訊和終止支援狀態 |
| DeviceTvmSoftwareVulnerabilities | 在裝置上找到的軟體弱點,以及可解決每個弱點的可用安全性更新清單 |
| DeviceTvmSoftwareVulnerabilitiesKB | 公開揭露弱點的知識庫,包括是否可公開取得惡意探索程式碼 |
| EmailAttachmentInfo | 附加至電子郵件的檔案相關資訊 |
| EmailEvents | Microsoft 365 電子郵件事件,包括電子郵件傳遞與封鎖事件 |
| EmailPostDeliveryEvents | 傳遞後 (Microsoft 365 將電子郵件傳遞至收件者信箱之後) 發生的安全性事件 |
| EmailUrlInfo | 電子郵件上的 URL 相關資訊 |
| IdentityDirectoryEvents | 執行 Active Directory (AD) 的內部部署網域控制站相關事件。 下表涵蓋網域控制站上的一系列身分識別相關事件和系統事件。 |
| IdentityInfo | 來自各種來源的帳戶資訊,包括 Microsoft Entra ID |
| IdentityLogonEvents | Active Directory 和 Microsoft 線上服務的相關驗證事件 |
| IdentityQueryEvents | Active Directory 物件 (例如使用者、群組、裝置和網域) 的查詢 |
自訂偵測
使用自訂偵測,您可以主動監視及回應各種事件和系統狀態,包括疑似缺口活動和設定錯誤的端點。 這可透過自動觸發警示和回應動作的可自訂偵測規則來達成。
自訂偵測可搭配進階搜捕使用,進階搜捕不但提供了功能強大且富有彈性的查詢語言,還可涵蓋大量來自您網路的事件和系統資訊。 您可以將其設定為定期執,並在有相符項目時產生警示及採取回應動作。
自訂偵測提供:
從進階搜捕查詢建置的規則型偵測警示
可套用至檔案和裝置的自動回應動作
建立偵測規則
建立偵測規則:
1. 準備查詢。
在 Microsoft Defender 資訊安全中心內,移至 [進階搜捕],然後選取現有查詢或建立新的查詢。 使用新的查詢時,請執行查詢以找出錯誤,並了解可能的結果。
重要
為防止服務傳回太多警示,每條規則都限制為每次執行只能產生 100 個警示。 建立規則之前,請先調整查詢,以免就正常的日常活動發出警示。
若要針對自訂偵測規則使用查詢,則查詢必須傳回下列資料行:
時間戳記
DeviceId
ReportId
簡單的查詢,例如不使用專案或摘要運算子來自訂或彙總結果的查詢,通常會傳回這些通用資料行。
有很多方式可確保更複雜的查詢會傳回這些資料行。 例如,如果您偏好依 DeviceId 彙總和計數,仍然可以從與每部裝置有關的最新事件中,取得時間戳記和 ReportId。
下方的範例查詢會計算具有防毒軟體偵測到的唯一裝置數量 (DeviceId),並使用此值只尋找被偵測到五次以上的裝置。 為了傳回最新的時間戳記和對應的 ReportId,會使用摘要運算子搭配 arg_max 函數。
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. 建立新的規則,並提供警示詳細資料。
使用查詢編輯器中的查詢,選取 [建立偵測規則],並指定下列警示詳細資料:
偵測名稱—偵測規則的名稱
頻率—執行查詢和採取動作的間隔。 請參閱下方的其他指引
警示標題—規則所觸發的警示顯示的標題
嚴重性—規則所識別出的元件或活動潛在風險。
類別—威脅元件或活動的類型 (如有)。
MITRE ATT&CK 技術—規則所識別出的一或多種攻擊技術,如 MITRE ATT&CK 架構中所記錄。 本節內容不適用於特定的警示類別,例如惡意程式碼、勒索軟體、可疑的活動和垃圾軟體
說明—規則識別出的元件或活動詳細資訊
建議的動作—回應程式在回應警示時可能採取的其他動作
3. 規則頻率
儲存後,新的自訂偵測規則會立即執行,並檢查過去 30 天的資料中是否有相符項目。 然後規則會根據您選擇的頻率,按固定間隔和回顧持續時間再次執行:
每 24 小時—每 24 小時執行一次,檢查過去 30 天內的資料
每 12 小時 — 每隔 12 小時執行一次,檢查過去 48 小時內的數據
每3小時 — 每隔3小時執行一次,檢查過去12小時內的數據
每小時 — 每小時執行一次,檢查過去 4 小時內的數據
連續 (NRT)- 持續執行,檢查來自事件的數據,因為它們會以近乎即時的方式收集和處理 (NRT)
選取最接近您想要監視偵測的頻率,並考慮您組織回應警示的容量。
注意
將自定義偵測設定為以連續 (NRT) 頻率執行,可讓您加快組織識別威脅的能力。
4. 選擇受影響的實體。
在您的查詢結果中找出資料行,預期可在此找到主要會受到影響的實體。 例如,查詢可能會傳回裝置和使用者識別碼。 識別出哪一個資料行代表主要受影響的實體,有利於服務彙總相關警示、使事件相互關聯,以及鎖定目標回應動作。
每種實體類型只能選取一個資料行。 您無法選取查詢未傳回的資料行。
5. 指定動作。
您的自訂偵測規則會自動對查詢傳回的檔案或裝置採取動作。
對裝置採取的動作
這些動作會套用至查詢結果 [DeviceId] 資料行中的裝置:
隔離裝置—套用完整的網路隔離,防止裝置連線到任何應用程式或服務,除了適用於端點的 Defender 服務以外。
收集調查套件—將裝置資訊收集在 ZIP 檔案中。
執行防毒軟體掃描—在裝置上執行完整的 Microsoft Defender 防毒軟體掃描
起始調查—在裝置上啟動自動化調查
對檔案採取的動作
這些動作會套用至查詢結果 [SHA1] 或 [InitiatingProcessSHA1] 資料行中的檔案:
允許/封鎖 — 自動將檔案新增至您的自訂指標清單中,以便一律允許執行或封鎖執行。 您可以設定此動作的範圍,只對選取的裝置群組執行此動作。 此範圍與規則的範圍無關。
隔離檔案—從目前的位置刪除檔案,並將複本放在隔離區中
6. 設定規則範圍。
設定範圍以指定規則涵蓋的裝置:
所有裝置
特定的裝置群組
只查詢範圍內裝置中的資料。 而且,只會對這些裝置採取動作。
7. 檢閱並開啟規則。
檢閱規則之後,選取 [建立] 儲存規則。 自訂偵測規則會立即執行, 它會根據設定的頻率再次執行,檢查是否有相符項、產生警示,以及採取回應動作。