Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender

Расширенная охота — это средство охоты на угрозы на основе запросов, которое используется для изучения необработанных данных сроком до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.

Расширенная охота поддерживает два режима: интерактивный и расширенный. Используйте интерактивный режим, если вы еще не знакомы с язык запросов Kusto (KQL) или предпочитаете удобство построителя запросов. Используйте расширенный режим , если вам удобно использовать KQL для создания запросов с нуля.

Сведения о начале охоты см. в статье Выбор интерактивного и расширенного режимов охоты на портале Microsoft Defender.

Вы можете использовать одни и те же запросы охоты на угрозы для создания настраиваемых правил обнаружения. Эти правила выполняются автоматически, чтобы проверка для, а затем реагировать на предполагаемые действия нарушения, неправильно настроенные компьютеры и другие результаты.

Расширенная охота поддерживает запросы, которые проверка более широкий набор данных, поступающий из:

  • Microsoft Defender для конечной точки
  • Microsoft Defender для Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для удостоверений
  • Microsoft Sentinel

Чтобы использовать расширенную охоту, включите Microsoft Defender XDR. Чтобы использовать расширенную охоту с Microsoft Sentinel, подключите Microsoft Sentinel к порталу Defender.

Дополнительные сведения о расширенной охоте в Microsoft Defender for Cloud Apps данных см. в разделе Расширенная охота в Defender for Cloud Apps (видео).

Получение доступа

Вам необходимо назначить разрешения, прежде чем вы сможете выполнять расширенные запросы охоты. Возможны следующие варианты:

  • Microsoft Defender XDR единого управления доступом на основе ролей (URBAC):

    • Расширенный доступ к охоте (Email & таблицы совместной работы): членство назначается с разрешением URBAC "Необработанные данные> для операций> безопасности Email & метаданные совместной работы (чтение). Это разрешение предоставляет доступ к:
      • EmailEvents
      • EmailUrlInfo
      • EmailAttachmentInfo
      • EmailPostDeliveryEvents
      • CampaignInfo
      • FileMaliciousContentInfo
      • MessageEvents
      • MessagePostDeliveryEvents
      • MessageUrlInfo
      • UrlClickEvents
      • метаданные сущности Email
    • Расширенный доступ к охоте (оповещения & таблицы поведения). Членство назначается с разрешением URBAC для операций>безопасности Безопасность данных>безопасности. Это разрешение предоставляет доступ к схеме поведения оповещений &, но не к схеме совместной работы Email &.
  • Email & разрешения на совместную работу на портале Microsoft Defender. Членство в одной из следующих групп ролей совместной работы Email & предоставляет доступ к таблицам данных электронной почты при расширенной охоте:

    • Администратор безопасности
    • Оператор безопасности
    • Читатель сведений о безопасности
  • разрешения Exchange Online. Для доступа к Exchange Online данным, которые отображаются при расширенной охоте, пользователи должны быть членами одной из следующих групп ролей Exchange Online:

    • View-Only Organization Management
    • Конфигурация только для чтения
    • Читатель сведений о безопасности
    • Глобальное средство чтения
  • разрешения Microsoft Entra. Членство в одной из следующих ролей Microsoft Entra предоставляет полный доступ на чтение ко всем расширенным данным охоты.

    • Глобальный администратор
    • Администратор безопасности
    • Читатель сведений о безопасности
    • Глобальное средство чтения

    Доступ к данным конечной точки определяется параметрами управления доступом на основе ролей (RBAC) в Microsoft Defender для конечной точки. Дополнительные сведения см. в статье Управление доступом к Microsoft Defender XDR с помощью Microsoft Entra глобальных ролей.

Актуальность данных и частота обновления

Расширенные данные охоты делятся на два разных типа, каждый из которых имеет разный процесс консолидации.

Данные о событиях или действиях

Данные о событиях или действиях заполняют таблицы оповещений, событий безопасности, системных событий и обычных оценок. Расширенная охота получает эти данные практически сразу после того, как датчики, которые их собирают, успешно передают их в соответствующие облачные службы. Например, вы можете запрашивать данные о событиях с исправных датчиков на рабочих станциях или контроллерах домена почти сразу после того, как они станут доступны в Microsoft Defender для конечной точки и Microsoft Defender для удостоверений.

Чтобы собрать еще больше свойств событий, можно включить агрегированные отчеты.

Данные сущности

Данные сущности заполняют таблицы сведениями о пользователях и устройствах. Данные сущностей поступают из относительно статических источников, таких как записи Active Directory, и динамических источников, таких как журналы событий. Для предоставления новых данных таблицы обновляются каждый час с записью, содержащей последний, наиболее полный набор данных о каждой сущности, включая состояние работоспособности и теги.

Квоты и параметры использования

Чтобы обеспечить производительность и быстродействие службы, расширенная охота устанавливает различные квоты и параметры использования (также известные как "ограничения службы"). Эти квоты и параметры применяются отдельно к запросам, выполняемым вручную, и к запросам, выполняемым с использованием пользовательских правил обнаружения. Помните об этих ограничениях при регулярном выполнении нескольких запросов. Применяйте рекомендации по оптимизации , чтобы свести к минимуму перебои.

В следующей таблице описаны доступные квоты и параметры использования.

Квота или параметр Размер Цикл обновления Описание
Диапазон дат 30 дней для Defender XDR данных, если они не передаются через Microsoft Sentinel Каждый запрос Каждый запрос может искать Defender XDR данные за последние 30 дней или дольше, если они передаются через Microsoft Sentinel
Результирующий набор 100 000 строк Каждый запрос Каждый запрос может возвращать до 100 000 записей.
Превышено время ожидания 10 минут Каждый запрос Каждый запрос может работать до 10 минут. Если он не будет завершен в течение 10 минут, служба отобразит ошибку.
Ресурсы ЦП Зависит от размера клиента Каждые 15 минут На портале отображается предупреждение каждый раз, когда выполняется запрос и клиент потребляет более 10 % выделенных ресурсов. Запросы блокируются, если клиент достигает 100 % до следующего 15-минутного цикла.
Ограничение размера результатов 64 МБ Каждый запрос Ограничение общего размера данных результатов, которое не относится только к количеству записей. Такие факторы, как количество столбцов, типы данных и длина полей, также влияют на размер результата.

Если результат запроса превышает ограничение в 64 МБ, портал возвращает максимальное количество записей, которые он может превышать это ограничение, и отображает сообщение о том, что отображаемые результаты являются частичными из-за ограничений размера.

На едином портале Microsoft Defender можно выполнять запросы к Microsoft Sentinel таблицам путем подключения рабочей области. Поэтому также применяются ограничения рабочей области Log Analytics.

Дополнительные сведения о расширенной охоте в мультитенантных организациях см. в разделе Квоты в расширенной охоте в мультитенантном управлении.

Примечание.

Отдельный набор квот и параметров применяется к расширенным охотничьим запросам, выполняемым через API. Ознакомьтесь с расширенными API охоты.

Часовой пояс

Запросы

Расширенная охота использует UTC (универсальное координированное время) для всех данных.

Снимок экрана: параметр пользовательского диапазона времени в параметрах расширенного запроса охоты.

Написание запросов в формате UTC.

Результаты

Microsoft Defender XDR преобразует расширенные результаты охоты в заданный часовой пояс.

Расширение срока хранения данных с помощью API потоковой передачи

Чтобы продлить 30-дневный срок хранения для расширенной охоты, ознакомьтесь со следующими ресурсами:

Примечание.

Хранение данных начинается с первого дня реализации и включения API потоковой передачи.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.