Cercare in modo proattivo le minacce con ricerca avanzata in Microsoft Defender

La ricerca avanzata è uno strumento di ricerca delle minacce basato su query che consente di esplorare fino a 30 giorni di dati non elaborati. È possibile controllare in modo proattivo eventi nella rete per localizzare indicatori ed entità di minaccia. L'accesso flessibile ai dati consente la ricerca senza vincoli di minacce sia note che potenziali.

La ricerca avanzata supporta due modalità, guidate e avanzate. Usare la modalità guidata se non si ha ancora familiarità con Linguaggio di query Kusto (KQL) o se si preferisce la comodità di un generatore di query. Usare la modalità avanzata se si ha familiarità con l'uso di KQL per creare query da zero.

Per iniziare a eseguire la ricerca, vedere Scegliere tra modalità guidate e avanzate per la ricerca nel portale di Microsoft Defender.

È possibile usare le stesse query di ricerca delle minacce per creare regole di rilevamento personalizzate. Queste regole vengono eseguite automaticamente per verificare e quindi rispondere a sospette attività di violazione, computer non configurati correttamente e altri risultati.

La ricerca avanzata supporta query che controllano un set di dati più ampio proveniente da:

• Microsoft Defender per endpoint
• Microsoft Defender per Office 365
• Microsoft Defender for Cloud Apps
• Microsoft Defender per identità
• Microsoft Sentinel

Per usare la ricerca avanzata, attivare Microsoft Defender XDR. In alternativa, per usare la ricerca avanzata con Microsoft Sentinel, connettersi Microsoft Sentinel al portale di Defender.

Per altre informazioni sulla ricerca avanzata nei dati Microsoft Defender for Cloud Apps, vedere il video.

Ottenere l'accesso

Prima di poter eseguire query di ricerca avanzata, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

• Microsoft Defender XDR controllo degli accessi in base al ruolo (URBAC) unificato:

  • Accesso ricerca avanzata di sola lettura (tabelle di collaborazione Email &): appartenenza assegnata con l'autorizzazione URBAC Security data>Security data>Security data basic (read). Questa autorizzazione consente di accedere a:
    • EmailEvents
    • EmailUrlInfo
    • EmailAttachmentInfo
    • UrlClickEvents
    • Email metadati dell'entità

• Email & autorizzazioni di collaborazione nel portale di Microsoft Defender: l'appartenenza a uno dei gruppi di ruoli di collaborazione Email & seguenti consente l'accesso alle tabelle dei dati di posta elettronica in Ricerca avanzata:

  • Amministratore della sicurezza
  • Operatore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza

• Exchange Online autorizzazioni: per accedere ai dati Exchange Online visualizzati in Ricerca avanzata, gli utenti devono essere membri di uno dei gruppi di ruoli Exchange Online seguenti:

  • View-Only Organization Management
  • Configurazione solo visualizzazione
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Lettore globale

• Microsoft Entra autorizzazioni: l'appartenenza a uno dei ruoli di Microsoft Entra seguenti concede l'accesso in lettura completo a tutti i dati di Ricerca avanzata:

  • Amministratore globale
  • Amministratore della sicurezza
  • Ruolo con autorizzazioni di lettura per la sicurezza
  • Lettore globale

  Inoltre, l'accesso ai dati degli endpoint è determinato dalle impostazioni del controllo degli accessi in base al ruolo in Microsoft Defender per endpoint. Per altre informazioni, vedere Gestire l'accesso a Microsoft Defender XDR con Microsoft Entra ruoli globali.

Aggiornamento dei dati e frequenza di aggiornamento

I dati di rilevazine avanzata possono essere categorizzati in due tipi distinti, ognuno consolidato in modo diverso.

Dati di eventi o attività

I dati di eventi o attività popolano le tabelle relative ad avvisi, eventi di sicurezza, eventi di sistema e valutazioni di routine. La rilevazione avanzata riceve questi dati quasi subito dopo che i sensori che li raccolgono li trasmettono correttamente ai servizi cloud corrispondenti. Ad esempio, è possibile eseguire query sui dati degli eventi da sensori integri su workstation o controller di dominio quasi immediatamente dopo che sono disponibili in Microsoft Defender per endpoint e Microsoft Defender per identità.

Per raccogliere un numero ancora maggiore di proprietà dell'evento, è possibile attivare la creazione di report aggregati.

Dati entità

I dati delle entità popolano le tabelle con informazioni su utenti e dispositivi. Questi dati provengono sia da origini dati relativamente statiche sia da origini dinamiche, ad esempio voci di Active Directory e registri eventi. Per fornire dati aggiornati, le tabelle vengono aggiornate ogni ora per inserire un record che contiene il set di dati più recente e completo su ogni entità, incluse altre informazioni utili, ad esempio lo stato di integrità e i tag.

Fuso orario

Query

I dati di ricerca avanzati usano il fuso orario UTC (Universal Time Coordinated).

Le query devono essere create in formato UTC.

Risultati

I risultati della ricerca avanzata vengono convertiti nel fuso orario impostato in Microsoft Defender XDR.

Per estendere la conservazione di 30 giorni per Ricerca avanzata, è possibile usare le API di streaming

Per estendere la conservazione di 30 giorni per Ricerca avanzata, vedere le risorse seguenti:

• API streaming Microsoft Defender XDR
• MICROSOFT DEFENDER PER ENDPOINT API Di streaming dati non elaborati

Contenuto correlato

• Scegliere tra modalità di ricerca guidata e avanzata
• Creare query di ricerca usando la modalità guidata
• Capire il linguaggio delle query
• Comprendere lo schema
• API di sicurezza di Microsoft Graph
• Panoramica dei rilevamenti personalizzati