Поделиться через


Выберите между интерактивным и расширенным режимами охоты в Microsoft Defender XDR

Область применения:

  • Microsoft Defender XDR

Чтобы найти расширенную страницу охоты, перейдите на левую панель навигации на портале Microsoft Defender и выберите Охота>Расширенная охота. Если панель навигации свернута, щелкните значок охоты на значок охоты.

На странице расширенной охоты поддерживаются два режима:

  • Интерактивный режим — выполнение запросов с помощью построителя запросов
  • Расширенный режим — выполнение запросов с помощью редактора запросов с помощью язык запросов Kusto (KQL)

Разница main между двумя режимами заключается в том, что в интерактивном режиме не требуется, чтобы охотник знал KQL для запроса базы данных, в то время как расширенный режим требует знаний KQL.

В интерактивном режиме построитель запросов имеет простой в использовании визуальный и стандартный стиль создания запросов с помощью раскрывающихся меню, содержащих доступные фильтры и условия. Сведения об использовании интерактивного режима см. в статье Начало работы с режимом интерактивной охоты.

В расширенном режиме есть область редактора запросов, в которой пользователи могут создавать запросы с нуля. Дополнительные сведения см. в статье Начало работы с расширенным режимом охоты.

Начало работы с режимом интерактивной охоты

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Когда вы впервые открываете страницу расширенной охоты после того, как вам будет доступна интерактивная охота, вы можете принять участие в обзоре, чтобы узнать больше о различных частях страницы, таких как вкладки и области запросов.

Чтобы принять экскурсию, нажмите кнопку Принять тур , когда появится этот баннер:

баннер, приглашая пользователя принять тур

Следуйте синим пузырькам обучения, которые отображаются на странице, и нажмите кнопку Далее , чтобы перейти от одного шага к другому.

Вы можете повторить тур в любое время, перейдя в раздел Справочные ресурсы>Подробнее и выбрав Пункт Принять тур.

Снимок экрана: справочные ресурсы

Затем можно приступить к созданию запроса для поиска угроз. Следующие статьи помогут вам максимально эффективно использовать охоту в интерактивном режиме:

Цель обучения Описание Ресурс
Создание первого запроса Ознакомьтесь с основами построителя запросов, такими как указание домена данных и добавление условий и фильтров, которые помогут вам создать осмысленный запрос. Дополнительные сведения см. в примере запросов. Создание запросов охоты в интерактивном режиме
Сведения о различных возможностях построителя запросов Ознакомьтесь с различными поддерживаемыми типами данных и возможностями интерактивного режима, которые помогут вам точно настроить запрос в соответствии с вашими потребностями. Уточнение запроса в пошаговом режиме
Узнайте, что можно делать с результатами запроса Ознакомьтесь с представлением "Результаты" и ознакомитесь с созданными результатами, например о том, как выполнить с ними действия или связать их с инцидентом. - Работа с результатами запроса в интерактивном режиме
- Выполнение действий с результатами запроса
- Связывание результатов запроса с инцидентом
Создание настраиваемых правил обнаружения Узнайте, как можно использовать расширенные поисковые запросы для автоматического запуска предупреждений и выполнения ответных действий. - Обзор пользовательских обнаружений
- Настраиваемые правила обнаружения

Начало работы с режимом расширенной охоты

Мы рекомендуем выполнить следующие действия, чтобы быстро приступить к расширенной охоте:

Цель обучения Описание Ресурс
Изучение языка Расширенный поиск основан на языке запросов Kusto, поддерживающем тот же синтаксис и операторы. Начать изучение языка запросов можно, выполнив свой первый запрос. Сведения о языке запросов
Узнайте, как использовать результаты запроса Сведения о диаграммах и различных способах просмотра или экспорта результатов. Сведения о том, как можно быстро настроить запросы, детализировать для получения более подробных сведений и выполнить ответные действия. - Работа с результатами запроса в расширенном режиме
- Выполнение действий с результатами запроса
- Связывание результатов запроса с инцидентом
Сведения о схеме Формирование четкого и глубокого представления о таблицах схемы и входящих в них столбцах. Узнайте, где искать данные при построении запросов. - Справочник по схеме
- Переход с Microsoft Defender для конечной точки
Получите советы и примеры экспертов Тренируйтесь бесплатно с помощью руководств от экспертов Microsoft. Возможен поиск в коллекции предварительно настроенных запросов для использования при разных сценариев выслеживания угроз. - Обучение экспертов
- Использование общих запросов
- Охота
- Поиск угроз на разных устройствах, электронных письмах, приложениях и удостоверениях
Оптимизация запросов и обработка ошибок Узнайте, как создавать эффективные и безошибочные запросы. - Рекомендации по выполнению запросов
- Обработка ошибок
Создание настраиваемых правил обнаружения Узнайте, как можно использовать расширенные поисковые запросы для автоматического запуска предупреждений и выполнения ответных действий. - Обзор пользовательских обнаружений
- Настраиваемые правила обнаружения

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.