Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Расширенная охота — это средство охоты на угрозы на основе запросов, которое используется для изучения необработанных данных сроком до 30 дней. Вы можете проводить инспекцию событий в своей сети для поиска индикаторов и объектов угроз на профилактической основе. Гибкий доступ к данным обеспечивает неограниченную охоту на известные и потенциальные угрозы.
Расширенная охота поддерживает два режима: интерактивный и расширенный. Используйте интерактивный режим, если вы еще не знакомы с язык запросов Kusto (KQL) или предпочитаете удобство построителя запросов. Используйте расширенный режим , если вам удобно использовать KQL для создания запросов с нуля.
Сведения о начале охоты см. в статье Выбор интерактивного и расширенного режимов охоты на портале Microsoft Defender.
Вы можете использовать одни и те же запросы охоты на угрозы для создания настраиваемых правил обнаружения. Эти правила выполняются автоматически, чтобы проверка для, а затем реагировать на предполагаемые действия нарушения, неправильно настроенные компьютеры и другие результаты.
Расширенная охота поддерживает запросы, которые проверка более широкий набор данных, поступающий из:
- Microsoft Defender для конечной точки
- Microsoft Defender для Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender для удостоверений
- Microsoft Sentinel
Чтобы использовать расширенную охоту, включите Microsoft Defender XDR. Или, чтобы использовать расширенную охоту с Microsoft Sentinel, подключите Microsoft Sentinel к порталу Defender.
Дополнительные сведения о расширенной охоте в Microsoft Defender for Cloud Apps данных см. в видео.
Получение доступа
Вам должны быть назначены разрешения, прежде чем вы сможете выполнять запросы расширенной охоты. Возможны следующие варианты:
Microsoft Defender XDR единого управления доступом на основе ролей (URBAC):
-
Расширенный доступ к расширенной охоте только на чтение (Email & таблицы совместной работы): членство назначается с разрешением URBAC для операций> безопасностиБезопасность данных>безопасности базовых данных (чтение) URBAC. Это разрешение предоставляет доступ к:
- EmailEvents
- EmailUrlInfo
- EmailAttachmentInfo
- UrlClickEvents
- метаданные сущности Email
-
Расширенный доступ к расширенной охоте только на чтение (Email & таблицы совместной работы): членство назначается с разрешением URBAC для операций> безопасностиБезопасность данных>безопасности базовых данных (чтение) URBAC. Это разрешение предоставляет доступ к:
Email & разрешения на совместную работу на портале Microsoft Defender. Членство в одной из следующих групп ролей совместной работы Email & предоставляет доступ к таблицам данных электронной почты в Advanced Hunting:
- Администратор безопасности
- Оператор безопасности
- Читатель сведений о безопасности
разрешения Exchange Online. Для доступа к Exchange Online данным, которые отображаются в advanced hunting, пользователи должны быть членами одной из следующих групп ролей Exchange Online:
- View-Only Organization Management
- Конфигурация только для чтения
- Читатель сведений о безопасности
- Глобальное средство чтения
разрешения Microsoft Entra. Членство в одной из следующих ролей Microsoft Entra предоставляет полный доступ на чтение всех данных Расширенной охоты:
- Глобальный администратор
- Администратор безопасности
- Читатель сведений о безопасности
- Глобальное средство чтения
Кроме того, доступ к данным конечной точки определяется параметрами управления доступом на основе ролей (RBAC) в Microsoft Defender для конечной точки. Дополнительные сведения см. в статье Управление доступом к Microsoft Defender XDR с помощью Microsoft Entra глобальных ролей.
Актуальность данных и частота обновления
Расширенные данные охоты делятся на два разных типа, каждый из которых имеет разный процесс консолидации.
Данные о событиях или действиях
Данные о событиях или действиях заполняют таблицы оповещений, событий безопасности, системных событий и обычных оценок. Расширенная охота получает эти данные практически сразу после того, как датчики, которые их собирают, успешно передают их в соответствующие облачные службы. Например, вы можете запрашивать данные о событиях с исправных датчиков на рабочих станциях или контроллерах домена почти сразу после того, как они станут доступны в Microsoft Defender для конечной точки и Microsoft Defender для удостоверений.
Чтобы собрать еще больше свойств событий, можно включить агрегированные отчеты.
Данные сущности
Данные сущности заполняют таблицы сведениями о пользователях и устройствах. Эти данные получены как из относительно статических источников данных, так и из динамических источников, таких как записи Active Directory и журналы событий. Чтобы предоставить новые данные, таблицы обновляются каждый час, чтобы вставить запись, содержащую последний, наиболее полный набор данных о каждой сущности, включая другие полезные сведения, такие как состояние работоспособности и теги.
Квоты и параметры использования
Чтобы обеспечить производительность и быстродействие службы, расширенная охота устанавливает различные квоты и параметры использования (также известные как "ограничения службы"). Эти квоты и параметры применяются отдельно к запросам, выполняемым вручную, и к запросам, выполняемым с использованием пользовательских правил обнаружения. Помните об этих ограничениях при регулярном выполнении нескольких запросов. Применяйте рекомендации по оптимизации , чтобы свести к минимуму перебои.
Сведения о существующих квотах и параметрах использования см. в следующей таблице.
| Квота или параметр | Размер | Цикл обновления | Описание |
|---|---|---|---|
| Диапазон дат | 30 дней для Defender XDR данных, если они не передаются через Microsoft Sentinel | Каждый запрос | Каждый запрос может искать Defender XDR данные за последние 30 дней или дольше, если они передаются через Microsoft Sentinel |
| Результирующий набор | 100 000 строк | Каждый запрос | Каждый запрос может возвращать до 100 000 записей. |
| Превышено время ожидания | 10 минут | Каждый запрос | Каждый запрос может работать до 10 минут. Если он не будет завершен в течение 10 минут, служба отобразит ошибку. |
| Ресурсы ЦП | Зависит от размера клиента | Каждые 15 минут | На портале отображается предупреждение каждый раз, когда выполняется запрос и клиент потребляет более 10 % выделенных ресурсов. Запросы блокируются, если клиент достигает 100 % до следующего 15-минутного цикла. |
| Ограничение размера результатов | 64 МБ | Каждый запрос | Ограничение общего размера данных результатов, которое не относится только к количеству записей. Такие факторы, как количество столбцов, типы данных и длина полей, также влияют на размер результата. Если результат запроса превышает ограничение в 64 МБ, портал возвращает максимальное количество записей, которые он может превышать это ограничение, и отображает сообщение о том, что отображаемые результаты являются частичными из-за ограничений размера. |
На едином портале Microsoft Defender можно выполнять запросы к Microsoft Sentinel таблицам путем подключения рабочей области. Поэтому также применяются ограничения рабочей области Log Analytics.
Дополнительные сведения о расширенной охоте в мультитенантных организациях см. в разделе Квоты в расширенной охоте в мультитенантном управлении.
Примечание.
Отдельный набор квот и параметров применяется к расширенным охотничьим запросам, выполняемым через API. Ознакомьтесь с расширенными API охоты
Часовой пояс
Запросы
Расширенная охота использует UTC (универсальное координированное время) для всех данных.
Написание запросов в формате UTC.
Результаты
Microsoft Defender XDR преобразует расширенные результаты охоты в заданный часовой пояс.
Чтобы продлить 30-дневный срок хранения для расширенной охоты, используйте API потоковой передачи.
Чтобы продлить 30-дневный срок хранения для расширенной охоты, ознакомьтесь со следующими ресурсами:
- API потоковой передачи Microsoft Defender XDR
- API потоковой передачи необработанных данных Microsoft Defender для конечной точки
Примечание.
Хранение данных начинается с первого дня реализации и включения API потоковой передачи.
Связанные материалы
- Выбор между интерактивным и расширенным режимами охоты
- Создание запросов охоты в интерактивном режиме
- Изучение языка запросов
- Сведения о схеме
- API безопасности Microsoft Graph
- Обзор настраиваемых обнаружений
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.