Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью пользовательских обнаружений можно упреждающе отслеживать различные события и состояния системы и реагировать на них, включая предполагаемую активность нарушения безопасности и неправильно настроенные конечные точки. Настраиваемые обнаружения — это настраиваемые правила обнаружения, которые автоматически запускают оповещения и ответные действия.
Пользовательские обнаружения используются с расширенным поиском угроз, который предоставляет мощный и гибкий язык запросов, охватывающий широкий спектр событий и системных данных в вашей сети. Вы можете настроить их на запуск с регулярными интервалами, чтобы создавать оповещения и предпринимать ответные действия при совпадениях. Пользовательские правила обнаружения можно создать из редактора запросов расширенной охоты или непосредственно из списка настраиваемых правил обнаружения.
Настраиваемые обнаружения обеспечивают:
- Оповещения об обнаружении на основе правил, созданные на основе расширенных запросов охоты
- Действия автоматического реагирования
Оптимизация запросов в пользовательских правилах обнаружения важна для предотвращения тайм-аутов и обеспечения эффективности. Существует несколько ресурсов, содержащих рекомендации по оптимизации запросов, в статье Рекомендации по работе с запросами для расширенного поиска.
Управление пользовательскими обнаружениями в виде кода (предварительная версия)
Вы можете управлять пользовательскими правилами обнаружения в виде кода в GitHub или репозитории Azure DevOps с помощью расширения BICEP Microsoft Security. Разверните пользовательские обнаружения через репозитории Microsoft Sentinel для автоматической синхронизации или используйте CLI BICEP для настраиваемых конвейеров. Дополнительные сведения см. в разделе "Развертывание пользовательских правил обнаружения в виде кода".
См. также
- Создание настраиваемых правил обнаружения и управление ими
- Рекомендации по использованию запросов расширенного выслеживания
- Перенос запросов расширенного поиска из Microsoft Defender для конечных точек
- API Microsoft Graph Security для настраиваемых обнаружений
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.