Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A investigação avançada é uma ferramenta de investigação de ameaças baseada em consultas que lhe permite explorar até 30 dias de dados não processados. Você pode inspecionar proativamente os eventos na sua rede para localizar indicadores e entidades ameaçadoras.. O acesso flexível aos dados permite a busca irrestrita tanto por ameaças conhecidas como potenciais.
A investigação avançada suporta dois modos, guiados e avançados. Utilize o modo guiado se ainda não estiver familiarizado com Linguagem de Consulta Kusto (KQL) ou preferir a conveniência de um construtor de consultas. Utilize o modo avançado se estiver familiarizado com a utilização do KQL para criar consultas de raiz.
Para começar a investigar, leia Escolher entre modos guiados e avançados para investigar no portal do Microsoft Defender.
Pode utilizar as mesmas consultas de investigação de ameaças para criar regras de deteção personalizadas. Estas regras são executadas automaticamente para marcar e, em seguida, respondem a atividades suspeitas de violação, máquinas configuradas incorretamente e outras conclusões.
A investigação avançada suporta consultas que marcar um conjunto de dados mais amplo proveniente de:
- Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Office 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Identidade
- Microsoft Sentinel
Para utilizar a investigação avançada, ative Microsoft Defender XDR. Em alternativa, para utilizar a investigação avançada com o Microsoft Sentinel, ligue o Microsoft Sentinel ao portal do Defender.
Para obter mais informações sobre a investigação avançada em dados Microsoft Defender para Aplicativos de Nuvem, veja o vídeo.
Obter acesso
Para utilizar a investigação avançada ou outras capacidades de Microsoft Defender XDR, precisa de uma função adequada no Microsoft Entra ID. Leia sobre as funções e permissões necessárias para investigação avançada.
Além disso, o acesso aos dados de ponto final é determinado pelas definições de controlo de acesso baseado em funções (RBAC) no Microsoft Defender para Ponto de Extremidade. Leia sobre como gerir o acesso ao Microsoft Defender XDR.
Atualização de dados e frequência de atualização
Os dados de busca avançada podem ser categorizados em dois tipos distintos, cada um consolidado de forma diferente.
Dados de eventos ou atividades
Os dados de eventos ou atividades preenchem tabelas sobre alertas, eventos de segurança, eventos do sistema e avaliações de rotina. A busca avançada recebe esses dados quase imediatamente depois que os sensores que os coletam os transmitem para os serviços de nuvem correspondentes. Por exemplo, você pode consultar dados de eventos de sensores íntegros em estações de trabalho ou controladores de domínio quase imediatamente após eles estarem disponíveis no Microsoft Defender para Ponto de Extremidade e no Microsoft Defender para Identidade.
Para recolher ainda mais propriedades de eventos, tem a opção de ativar os relatórios agregados.
Dados da entidade
Os dados de entidade preenchem tabelas com informações sobre utilizadores e dispositivos. Esses dados vêm de fontes de dados relativamente estáticas e fontes dinâmicas, como entradas do Active Directory e logs de eventos. Para fornecer dados novos, as tabelas são atualizadas a cada hora para inserir um registo que contém o conjunto de dados mais recente e abrangente sobre cada entidade, incluindo outras informações úteis, como status e etiquetas de estado de funcionamento.
Fuso horário
Consultas
Os dados de investigação avançados utilizam o fuso horário UTC (Universal Time Coordinated).
As consultas devem ser criadas em UTC.
Resultados
Os resultados de investigação avançados são convertidos no fuso horário definido no Microsoft Defender XDR.
Para prolongar a retenção de 30 dias da Investigação Avançada, pode utilizar as APIs de Transmissão em Fluxo
Para prolongar a retenção de 30 dias para a Investigação Avançada, veja os seguintes recursos:
- API de Transmissão em Fluxo do Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade API de Transmissão em Fluxo de Dados Não Processados
Observação
Os dados retidos são desde o primeiro dia em que implementa e ativa a API de transmissão em fluxo.
Conteúdo relacionado
- Escolher entre modos de investigação orientados e avançados
- Criar consultas de investigação com o modo guiado
- Aprender a linguagem de consulta
- Compreender o esquema
- API de segurança do Microsoft Graph
- Visão geral de detecções personalizadas
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.