Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche, mit dem Sie rohe Daten für bis zu 30 Tage untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Der flexible Zugriff auf Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.
Die erweiterte Suche unterstützt zwei Modi: geführt und erweitert. Verwenden Sie den geführten Modus, wenn Sie noch nicht mit Kusto-Abfragesprache (KQL) vertraut sind oder den Komfort eines Abfrage-Generators bevorzugen. Verwenden Sie den erweiterten Modus , wenn Sie mit KQL vertraut sind, um Abfragen von Grund auf neu zu erstellen.
Informationen zum Starten der Suche finden Sie im Microsoft Defender-Portal unter Auswählen zwischen geführtem und erweitertem Modus für die Suche.
Sie können dieselben Bedrohungssucheabfragen verwenden, um benutzerdefinierte Erkennungsregeln zu erstellen. Diese Regeln werden automatisch ausgeführt, um verdächtige Sicherheitsverletzungen, falsch konfigurierte Computer und andere Ergebnisse zu überprüfen und darauf zu reagieren.
Die erweiterte Suche unterstützt Abfragen, die ein breiteres Dataset überprüfen, das aus folgendem Grund stammt:
- Microsoft Defender für Endpunkt
- Microsoft Defender für Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
- Microsoft Sentinel
Um die erweiterte Suche zu verwenden, aktivieren Sie Microsoft Defender XDR. Um die erweiterte Suche mit Microsoft Sentinel zu verwenden, verbinden Sie Microsoft Sentinel mit dem Defender-Portal.
Weitere Informationen zur erweiterten Suche in Microsoft Defender for Cloud Apps Daten finden Sie im Video.
Zugriff erhalten
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie Abfragen für die erweiterte Suche ausführen können. Sie haben folgende Optionen:
-
-
Read-only Advanced Hunting access (Email & Collaboration tables): Mitgliedschaft zugewiesen mit der URBAC-Berechtigung Security>data>Security Data Basic (Read) Diese Berechtigung bietet Zugriff auf:
- EmailEvents
- EmailUrlInfo
- EmailAttachmentInfo
- UrlClickEvents
- Email Entitätsmetadaten
-
Read-only Advanced Hunting access (Email & Collaboration tables): Mitgliedschaft zugewiesen mit der URBAC-Berechtigung Security>data>Security Data Basic (Read) Diese Berechtigung bietet Zugriff auf:
Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Die Mitgliedschaft in einer der folgenden rollengruppen Email & Zusammenarbeit bietet Zugriff auf E-Mail-Datentabellen in der erweiterten Suche:
- Sicherheitsadministrator
- Sicherheitsoperator
- Sicherheitsleseberechtigter
Exchange Online Berechtigungen: Benutzer müssen Mitglieder einer der folgenden Exchange Online Rollengruppen sein, um auf Exchange Online Daten zuzugreifen, die in der erweiterten Suche angezeigt werden:
- View-Only Organization Management
- Schreibgeschützte Konfiguration
- Sicherheitsleseberechtigter
- Globaler Reader
Microsoft Entra-Berechtigungen: Die Mitgliedschaft in einer der folgenden Microsoft Entra Rollen gewährt vollen Lesezugriff auf alle Daten der erweiterten Suche:
- Globaler Administrator
- Sicherheitsadministrator
- Sicherheitsleseberechtigter
- Globaler Reader
Außerdem wird Ihr Zugriff auf Endpunktdaten durch die Einstellungen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) in Microsoft Defender for Endpoint bestimmt. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Defender XDR mit Microsoft Entra globalen Rollen.
Aktualität und Aktualisierungshäufigkeit von Daten
Erweiterte Huntingdaten lassen sich in zwei verschiedene Typen mit jeweils unterschiedlichem Konsolidierungsprozess integrieren.
Ereignis- oder Aktivitätsdaten
Ereignis- oder Aktivitätsdaten füllen Tabellen zu Warnungen, Sicherheitsereignissen, Systemereignissen und Routinebewertungen auf. Die erweiterte Suche empfängt diese Daten fast unmittelbar nach den Sensoren, die sie erfassen, und überträgt sie erfolgreich an die entsprechenden Clouddienste. Beispielsweise können Sie Ereignisdaten von fehlerfreien Sensoren auf Arbeitsstationen oder Domänencontrollern nahezu sofort abfragen, nachdem sie in Microsoft Defender für Endpunkt und Microsoft Defender for Identity verfügbar sind.
Um noch mehr Ereigniseigenschaften zu erfassen, können Sie die aggregierte Berichterstellung aktivieren.
Entitätsdaten
Entitätsdaten füllen Tabellen mit Informationen zu Benutzern und Geräten auf. Diese Daten stammen sowohl aus relativ statischen Datenquellen als auch aus dynamischen Quellen, z. B. Active Directory-Einträgen und Ereignisprotokollen. Um neue Daten bereitzustellen, werden Tabellen stündlich aktualisiert, um einen Datensatz einzufügen, der das neueste, umfassendste Dataset zu jeder Entität enthält, einschließlich anderer nützlicher Informationen wie Integrität status und Tags.
Kontingente und Verwendungsparameter
Um den Dienst leistungsfähig und reaktionsfähig zu halten, legt die erweiterte Suche verschiedene Kontingente und Nutzungsparameter (auch als "Dienstgrenzwerte" bezeichnet) fest. Diese Kontingente und Parameter gelten separat für Abfragen, die manuell und mit benutzerdefinierten Erkennungsregeln ausgeführt werden. Beachten Sie diese Grenzwerte, wenn Sie regelmäßig mehrere Abfragen ausführen. Wenden Sie bewährte Methoden für die Optimierung an, um Unterbrechungen zu minimieren.
Informationen zu vorhandenen Kontingenten und Nutzungsparametern finden Sie in der folgenden Tabelle.
| Kontingent oder Parameter | Size | Aktualisierungszyklus | Beschreibung |
|---|---|---|---|
| Datumsbereich | 30 Tage für Defender XDR Daten, sofern sie nicht über Microsoft Sentinel gestreamt werden | Jede Abfrage | Jede Abfrage kann Defender XDR Daten bis zu den letzten 30 Tagen oder länger suchen, wenn sie über Microsoft Sentinel |
| Resultset | 100 000 Zeilen | Jede Abfrage | Jede Abfrage kann bis zu 100.000 Datensätze zurückgeben. |
| Timeout | 10 Minuten | Jede Abfrage | Jede Abfrage kann bis zu 10 Minuten lang ausgeführt werden. Wenn sie nicht innerhalb von 10 Minuten abgeschlossen wird, zeigt der Dienst einen Fehler an. |
| CPU-Ressourcen | Basierend auf der Mandantengröße | Alle 15 Minuten | Das Portal zeigt eine Warnung an, wenn eine Abfrage ausgeführt wird und der Mandant mehr als 10 % der zugeordneten Ressourcen verbraucht. Abfragen werden blockiert , wenn der Mandant bis nach dem nächsten 15-Minütigen Zyklus 100 % erreicht. |
| Größenbeschränkung für Ergebnisse | 64 MB | Jede Abfrage | Der Grenzwert für die Gesamtgröße der Ergebnisdaten, der sich nicht nur auf die Anzahl der Datensätze bezieht. Faktoren wie die Anzahl der Spalten, Datentypen und Feldlängen tragen ebenfalls zur Ergebnisgröße bei. |
Im Portal für einheitliche Microsoft Defender können Sie Abfragen über Microsoft Sentinel Tabellen ausführen, indem Sie ein Onboarding für einen Arbeitsbereich durchführen. Es gelten daher auch Grenzwerte für Log Analytics-Arbeitsbereiche.
Informationen zur erweiterten Suche in mehrinstanzenfähigen Organisationen finden Sie unter Kontingente bei der erweiterten Suche in der mehrinstanzenfähigen Verwaltung.
Hinweis
Ein separater Satz von Kontingenten und Parametern gilt für erweiterte Huntingabfragen, die über die API ausgeführt werden. Erfahren Sie mehr über apIs für die erweiterte Suche.
Zeitzone
Queries
Erweiterte Huntingdaten verwenden die Zeitzone UTC (Universal Time Coordinated).
Erstellen Sie Abfragen in UTC.
Ergebnisse
Die Ergebnisse der erweiterten Suche werden in die Zeitzone konvertiert, die in Microsoft Defender XDR festgelegt wurde.
Verwenden Sie Streaming-APIs, um die Aufbewahrungsdauer von 30 Tagen für die erweiterte Suche zu verlängern.
Informationen zum Verlängern der Aufbewahrungsdauer von 30 Tagen für die erweiterte Suche finden Sie in den folgenden Ressourcen:
- Microsoft Defender XDR Streaming-API
- Microsoft Defender for Endpoint Rohdatenstreaming-API
Hinweis
Die Datenaufbewahrung beginnt mit dem ersten Tag, an dem Sie die Streaming-API implementieren und aktivieren.
Verwandte Inhalte
- Wählen Sie zwischen geführten und erweiterten Hunting-Modi
- Erstellen von Hunting-Abfragen im geführten Modus
- Lernen der Abfragesprache
- Grundlegendes zum Schema
- Microsoft Graph-Sicherheits-API
- Benutzerdefinierte Erkennungen – Übersicht
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.