Обзор настраиваемых правил обнаружения

С помощью пользовательских обнаружений можно упреждающе отслеживать различные события и состояния системы и реагировать на них, включая предполагаемую активность нарушения безопасности и неправильно настроенные конечные точки. Настраиваемые обнаружения — это настраиваемые правила обнаружения, которые автоматически запускают оповещения и ответные действия.

Пользовательские обнаружения используются с расширенным поиском угроз, который предоставляет мощный и гибкий язык запросов, охватывающий широкий спектр событий и системных данных в вашей сети. Вы можете настроить их на запуск с регулярными интервалами, чтобы создавать оповещения и предпринимать ответные действия при совпадениях. Пользовательские правила обнаружения можно создать из редактора запросов расширенной охоты или непосредственно из списка настраиваемых правил обнаружения.

Настраиваемые обнаружения обеспечивают:

  • Оповещения об обнаружении на основе правил, созданные на основе расширенных запросов охоты
  • Действия автоматического реагирования

Оптимизация запросов в пользовательских правилах обнаружения важна для предотвращения тайм-аутов и обеспечения эффективности. Существует несколько ресурсов, содержащих рекомендации по оптимизации запросов, в статье Рекомендации по работе с запросами для расширенного поиска.

Управление пользовательскими обнаружениями в виде кода (предварительная версия)

Вы можете управлять пользовательскими правилами обнаружения в виде кода в GitHub или репозитории Azure DevOps с помощью расширения BICEP Microsoft Security. Разверните пользовательские обнаружения через репозитории Microsoft Sentinel для автоматической синхронизации или используйте CLI BICEP для настраиваемых конвейеров. Дополнительные сведения см. в разделе "Развертывание пользовательских правил обнаружения в виде кода".

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.