Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender

Расширенная охота — это средство охоты на угрозы на основе запросов, которое используется для изучения необработанных данных сроком до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.

Расширенная охота поддерживает два режима: интерактивный и расширенный. Используйте интерактивный режим, если вы еще не знакомы с язык запросов Kusto (KQL) или предпочитаете удобство построителя запросов. Используйте расширенный режим , если вам удобно использовать KQL для создания запросов с нуля.

Сведения о начале охоты см. в статье Выбор интерактивного и расширенного режимов охоты на портале Microsoft Defender.

Вы можете использовать те же запросы для поиска угроз для создания пользовательских правил обнаружения. Эти правила выполняются автоматически, чтобы выявлять предполагаемые инциденты безопасности, неправильно настроенные компьютеры и другие выявленные проблемы, а затем реагировать на них.

Расширенный поиск поддерживает запросы, которые проверяют более широкий набор данных, поступающих из следующего:

  • Microsoft Defender для конечной точки
  • Microsoft Defender для Office 365
  • Microsoft Defender для облачных приложений
  • Microsoft Defender для идентификации
  • Microsoft Sentinel

Чтобы использовать расширенную охоту, включите Microsoft Defender XDR. Чтобы использовать расширенную охоту с Microsoft Sentinel, подключите Microsoft Sentinel к порталу Defender.

Дополнительные сведения о расширенной охоте в Microsoft Defender for Cloud Apps данных см. в разделе Расширенная охота в Defender for Cloud Apps (видео).

Получение доступа

Прежде чем вы сможете выполнять запросы расширенного поиска угроз, вам должны быть назначены соответствующие разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR Унифицированное управление доступом на основе ролей (URBAC):

    • Доступ к расширенному поиску (таблицы электронной почты и совместной работы): членство назначается с разрешением URBAC Операции безопасности>Необработанные данные>Метаданные электронной почты и совместной работы (чтение). Это разрешение предоставляет доступ к:
      • EmailEvents
      • EmailUrlInfo
      • EmailAttachmentInfo
      • EmailPostDeliveryEvents
      • CampaignInfo
      • FileMaliciousContentInfo
      • MessageEvents
      • MessagePostDeliveryEvents
      • MessageUrlInfo
      • UrlClickEvents
      • метаданные сущности электронного письма
    • Доступ к расширенному поиску угроз (таблицы оповещений и поведений): Членство назначается с разрешением URBAC Операции безопасности>Данные безопасности>Основные данные безопасности (чтение). Это разрешение предоставляет доступ к схеме Оповещения и действия, но не к схеме Электронная почта и совместная работа.
  • Разрешения для электронной почты и совместной работы на портале Microsoft Defender: членство в одной из следующих групп ролей «Электронная почта и совместная работа» предоставляет доступ к таблицам данных электронной почты в расширенном поиске угроз:

    • Администратор безопасности
    • Оператор безопасности
    • Читатель сведений о безопасности
  • Разрешения Exchange Online: Для доступа к данным Exchange Online, отображаемым в расширенном поиске, пользователи должны входить в состав одной из следующих ролевых групп Exchange Online:

    • Управление организацией только для просмотра
    • Конфигурация только для чтения
    • Читатель сведений о безопасности
    • Глобальный ридер
  • разрешения Microsoft Entra. Членство в одной из следующих ролей Microsoft Entra предоставляет полный доступ на чтение ко всем расширенным данным охоты.

    • Глобальный администратор
    • Администратор безопасности
    • Читатель сведений о безопасности
    • Глобальный ридер

    Доступ к данным конечной точки определяется параметрами управления доступом на основе ролей (RBAC) в Microsoft Defender для конечной точки. Дополнительные сведения см. в статье "Управление доступом к Microsoft Defender с помощью глобальных ролей Microsoft Entra".

Актуальность данных и частота обновления

Расширенные данные охоты делятся на два разных типа, каждый из которых имеет разный процесс консолидации.

Данные о событиях или действиях

Данные о событиях или действиях заполняют таблицы оповещений, событий безопасности, системных событий и обычных оценок. Расширенная охота получает эти данные практически сразу после того, как датчики, которые их собирают, успешно передают их в соответствующие облачные службы. Например, вы можете запрашивать данные событий от работающих датчиков на рабочих станциях или контроллерах домена почти сразу после того, как они станут доступны в Microsoft Defender для конечной точки и Microsoft Defender для удостоверений.

Чтобы собрать еще больше свойств событий, можно включить агрегированные отчеты.

Данные сущности

Данные сущности заполняют таблицы сведениями о пользователях и устройствах. Данные сущностей поступают из относительно статических источников, таких как записи Active Directory, и динамических источников, таких как журналы событий. Для предоставления новых данных таблицы обновляются каждый час с записью, содержащей последний, наиболее полный набор данных о каждой сущности, включая состояние работоспособности и теги.

Квоты и параметры использования

Чтобы обеспечить производительность и быстродействие службы, расширенная охота устанавливает различные квоты и параметры использования (также известные как "ограничения службы"). Эти квоты и параметры применяются отдельно к запросам, выполняемым вручную, и к запросам, выполняемым с использованием пользовательских правил обнаружения. Помните об этих ограничениях при регулярном выполнении нескольких запросов. Применяйте рекомендации по оптимизации , чтобы свести к минимуму перебои.

В следующей таблице описаны доступные квоты и параметры использования.

Квота или параметр Размер Цикл обновления Описание
Диапазон дат 30 дней для данных Defender, если только они не передаются через Microsoft Sentinel Каждый запрос Каждый запрос может выполнять поиск по данным Defender максимум за последние 30 дней или за более длительный период, если данные передаются через Microsoft Sentinel
Набор результатов 100 000 строк Каждый запрос Каждый запрос может возвращать до 100 000 записей.
Тайм-аут 10 минут Каждый запрос Каждый запрос может работать до 10 минут. Если он не будет завершен в течение 10 минут, служба отобразит ошибку.
Ресурсы ЦП В зависимости от размера арендатора Каждые 15 минут На портале отображается предупреждение каждый раз, когда выполняется запрос и клиент потребляет более 10 % выделенных ресурсов. Запросы блокируются, если арендатор достигает 100 %, и остаются заблокированными до окончания следующего 15-минутного цикла.
Ограничение размера результатов 64 МБ Каждый запрос Ограничение общего размера данных результатов, которое не относится только к количеству записей. Такие факторы, как количество столбцов, типы данных и длина полей, также влияют на размер результата.

Если результат запроса превышает ограничение в 64 МБ, портал возвращает максимальное количество записей, которые он может превышать это ограничение, и отображает сообщение о том, что отображаемые результаты являются частичными из-за ограничений размера.

В едином портале Microsoft Defender можно выполнять запросы к таблицам Microsoft Sentinel, подключив рабочую область. Поэтому также применяются ограничения рабочей области Log Analytics.

Сведения о расширенной охоте в организациях с несколькими арендаторами см. в разделе Квоты в расширенной охоте при управлении несколькими арендаторами.

Примечание.

Отдельный набор квот и параметров применяется к расширенным охотничьим запросам, выполняемым через API. Ознакомьтесь с расширенными API охоты.

Часовой пояс

Запросы

Расширенная охота использует UTC (универсальное координированное время) для всех данных.

Снимок экрана: параметр пользовательского диапазона времени в параметрах расширенного запроса охоты.

Написание запросов в формате UTC.

Результаты

Microsoft Defender преобразует результаты расширенной охоты в заданный часовой пояс.

Расширение срока хранения данных с помощью API потоковой передачи

Чтобы продлить 30-дневный срок хранения для расширенной охоты, ознакомьтесь со следующими ресурсами:

Примечание.

Хранение данных начинается с первого дня реализации и включения API потоковой передачи.

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.