Partilhar via

Procurar proativamente ameaças com investigação avançada em Microsoft Defender

  • Aplica-se a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que utiliza para explorar até 30 dias de dados não processados. Pode inspecionar proativamente eventos na sua rede para localizar indicadores e entidades de ameaças. O acesso flexível aos dados permite uma investigação sem restrições para ameaças conhecidas e potenciais.

A investigação avançada suporta dois modos: guiados e avançados. Utilize o modo guiado se ainda não estiver familiarizado com Linguagem de Pesquisa Kusto (KQL) ou se preferir a conveniência de um construtor de consultas. Utilize o modo avançado se estiver familiarizado com a utilização do KQL para criar consultas de raiz.

Para começar a investigar, consulte Escolher entre modos guiados e avançados para investigar no portal do Microsoft Defender.

Pode utilizar as mesmas consultas de investigação de ameaças para criar regras de deteção personalizadas. Estas regras são executadas automaticamente para verificar e, em seguida, responder a atividades suspeitas de violação, máquinas configuradas incorretamente e outras conclusões.

A investigação avançada suporta consultas que verificam um conjunto de dados mais amplo proveniente de:

  • Microsoft Defender para Endpoint
  • Microsoft Defender para Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender para Identidade
  • Microsoft Sentinel

Para utilizar a investigação avançada, ative Microsoft Defender XDR. Em alternativa, para utilizar a investigação avançada com Microsoft Sentinel, ligue Microsoft Sentinel ao portal do Defender.

Para obter mais informações sobre a investigação avançada em dados Microsoft Defender for Cloud Apps, veja o vídeo.

Obter acesso

Tem de ter permissões atribuídas antes de poder executar consultas de Investigação Avançada. Tem as seguintes opções:

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (URBAC):

    • Acesso de Investigação Avançada só de leitura (Email & tabelas de Colaboração): associação atribuída com a permissão URBAC básico dedados> de Segurança de dadosde segurança de segurança >(leitura). Esta permissão fornece acesso a:
      • EmailEvents
      • EmailUrlInfo
      • EmailAttachmentInfo
      • UrlClickEvents
      • Email metadados de entidade

  • Email & permissões de colaboração no portal do Microsoft Defender: a associação a um dos seguintes grupos de funções de Colaboração Email & fornece acesso a tabelas de dados de e-mail na Investigação Avançada:

    • Administrador de Segurança
    • Operador de Segurança
    • Leitor de Segurança

  • permissões de Exchange Online: para aceder Exchange Online dados apresentados na Investigação Avançada, os utilizadores têm de ser membros de um dos seguintes grupos de funções Exchange Online:

    • Gestão da Organização Só de Visualização
    • Configuração Apenas de Visualização
    • Leitor de Segurança
    • Leitor Global

  • permissões de Microsoft Entra: a associação a uma das seguintes funções de Microsoft Entra concede acesso de leitura total a todos os dados da Investigação Avançada:

    • Administrador Global
    • Administrador de Segurança
    • Leitor de Segurança
    • Leitor Global

    Além disso, o acesso aos dados de ponto final é determinado pelas definições de controlo de acesso baseado em funções (RBAC) no Microsoft Defender para Endpoint. Para obter mais informações, veja Gerir o acesso a Microsoft Defender XDR com Microsoft Entra funções globais.

Atualização de dados e frequência de atualização

Os dados de investigação avançados enquadram-se em dois tipos distintos, cada um com um processo de consolidação diferente.

Dados de eventos ou atividades

Os dados de eventos ou atividades preenchem tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações de rotina. A investigação avançada recebe estes dados quase imediatamente após os sensores que os recolhem transmitirem com êxito para os serviços cloud correspondentes. Por exemplo, pode consultar dados de eventos de sensores em bom estado de funcionamento em estações de trabalho ou controladores de domínio quase imediatamente após estarem disponíveis em Microsoft Defender para Endpoint e Microsoft Defender para Identidade.

Para recolher ainda mais propriedades de eventos, pode ativar os relatórios agregados.

Dados da entidade

Os dados de entidade preenchem tabelas com informações sobre utilizadores e dispositivos. Estes dados são provenientes de origens de dados relativamente estáticas e de origens dinâmicas, como entradas do Active Directory e registos de eventos. Para fornecer dados novos, as tabelas são atualizadas a cada hora para inserir um registo que contém o conjunto de dados mais recente e abrangente sobre cada entidade, incluindo outras informações úteis, como o estado de funcionamento e as etiquetas.

Parâmetros de quota e utilização

Para manter o desempenho do serviço e reativo, a investigação avançada define várias quotas e parâmetros de utilização (também conhecidos como "limites de serviço"). Estas quotas e parâmetros aplicam-se separadamente às consultas executadas manualmente e às consultas executadas com regras de deteção personalizadas. Tenha em atenção estes limites se executar regularmente várias consultas. Aplique as melhores práticas de otimização para minimizar as interrupções.

Veja a tabela seguinte para compreender as quotas existentes e os parâmetros de utilização.

Quota ou parâmetro Tamanho Ciclo de atualização Descrição
Intervalo de datas 30 dias para Defender XDR dados, a menos que sejam transmitidos através de Microsoft Sentinel Todas as consultas Cada consulta pode procurar Defender XDR dados de até aos últimos 30 dias ou mais se forem transmitidos através de Microsoft Sentinel
Conjunto de resultados 100 000 linhas Todas as consultas Cada consulta pode devolver até 100 000 registos.
Tempo limite excedido 10 minutos Todas as consultas Cada consulta pode ser executada até 10 minutos. Se não for concluído dentro de 10 minutos, o serviço apresenta um erro.
Recursos da CPU Com base no tamanho do inquilino A cada 15 minutos O portal apresenta um aviso sempre que uma consulta é executada e o inquilino consome mais de 10% dos recursos alocados. As consultas são bloqueadas se o inquilino atingir os 100% até depois do ciclo de 15 minutos seguinte.
Limite de tamanho dos resultados 64 MB Todas as consultas O limite para o tamanho geral dos dados de resultados, que não se refere apenas ao número de registos. Fatores como o número de colunas, tipos de dados e comprimentos de campo também contribuem para o tamanho do resultado.

No portal Microsoft Defender unificado, pode executar consultas Microsoft Sentinel tabelas ao integrar uma área de trabalho. Por conseguinte, os limites da área de trabalho do Log Analytics também se aplicam.

Para investigação avançada em organizações multi-inquilino, veja Quotas na investigação avançada na gestão multi-inquilino.

Nota

Um conjunto separado de quotas e parâmetros aplica-se a consultas de investigação avançadas realizadas através da API. Leia sobre as APIs de investigação avançadas

Fuso horário

Consultas

Os dados de investigação avançados utilizam o fuso horário UTC (Universal Time Coordinated). Captura de ecrã do intervalo de tempo personalizado.

Crie consultas em UTC.

Resultados

Os resultados de investigação avançados são convertidos no fuso horário definido no Microsoft Defender XDR.

Para prolongar a retenção de 30 dias para a Investigação Avançada, utilize as APIs de Transmissão em Fluxo

Para prolongar a retenção de 30 dias para a Investigação Avançada, veja os seguintes recursos:

Nota

A retenção de dados começa a partir do primeiro dia em que implementa e ativa a API de transmissão em fluxo.

Conteúdos relacionados

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on