Verfolgen Sie schwache Signale im großen Maßstab
über unsere KQL Multi-Tenant-Konsole.
Stealth-Angriffe (APTs) erfordern eine proaktive Untersuchung. Stellen Sie Ihre KQL-Abfragen gleichzeitig für alle Ihre Microsoft 365 Defender-Mandanten bereit, ohne jemals Ihre MSSP-Administratorkonsole zu verlassen.
Klassisches Threat Hunting MSSP ist eine zeitaufwändige Sackgasse
Individuelle Verbindungenan jedes Kundenportal, um dieselbe Abfrage auszuführen. Ein 30-minütiger Prozess für 10 Kunden.
Gesamtausführung: Multi-Tenant-Selektor zur gleichzeitigen Abfrage aller Ihrer Defender-Mandanten.
Absolute Beherrschung von KQLfür jeden L1/N2-Analysten erforderlich, ohne Eingabehilfe oder vorgefertigte Vorlagen.
Abfragevorlagen: vorgefertigte Vorlagen für ProcessEvents, LogonEvents und NetworkEvents.
Manueller CSV-Exportjedes Mieters zur Konsolidierung in Excel. Aggregiertes Ergebnis in Stunden.
Dynamisches Ergebnisraster: zentralisierte interaktive und asynchrone Tabelle, Ergebnis in Sekunden.
Wie Akuity SOC Threat Hunting MSSP revolutioniert
Sicheres und asynchrones KQL-Terminal
Bearbeitungskonsole in Monospace-Schriftart mit Syntaxhervorhebung (smaragdgrün). Ausführungasynchron über die Microsoft Advanced Hunting API. Strikter Ratenbegrenzungsschutz mit durchsichtigem Ladebildschirm während der Wiederherstellung.
Integrierte Multi-Tenant-Auswahl
Wechseln Sie zwischen Clients mit einem Klick auf der Registerkarte „Threat Hunting“. Richten Sie Ihre Suche genau auf den Mieter aus, nach dem Sie suchen möchten. Die Ergebnisse werden sofort in einem angezeigtinteraktives dynamisches Raster.
Schnellabfragevorlagen
Vorgefertigte Kurzbefehle für Ihre Analysten:Verdächtige Prozesse(PowerShell/CMD über DeviceProcessEvents),Fehlgeschlagene Verbindungen(DeviceLogonEvents) undVerdächtiges Netzwerk(Ports 4444, 8080 über DeviceNetworkEvents).
Neutralisierung verdächtiger Kommunikation auf Port 4444
Proaktive Untersuchung mit der Vorlage „Verdächtiges Netzwerk“.
BedrohungsjagdDer Analyst verwendet die VorlageDeviceNetworkEventsum die Aktivität von Port 4444 (Command & Control-Server) auf einem bestimmten Mandanten zu scannen.
Erkennung und Auswertung über das AlienVault OTX-Messgerät
Risikobewertung 87/100Das Raster hebt mehrere verdächtige Netzwerkereignisse hervor. DortZiel-IP-Reputationwird sofort über unser integriertes AlienVault OTX-Messgerät beurteilt.
Behebung – Durch MFA validierte Netzwerkisolation
SOAR-SanierungDer Analyst wechselt zum Vorfallfenster undisoliert die Netzwerkmaschine über Intuneum die Exfiltration zu stoppen. Von der Microsoft Authenticator-Anwendung (AAL2) validierte Aktion.
Master Threat Hunting KQL für MSSP
Warum Threat Hunting KQL für einen MSSP zeitaufwändig ist (und wie man es automatisiert)
Eine proaktive Untersuchung ist wichtig, aber in großem Umfang komplex. Erfahren Sie, wie Sie Threat Hunting KQL über mehrere Microsoft Defender-Mandanten hinweg automatisieren.
So sichern Sie Ihre globalen KQL-Ausführungen mit Rate Limiting
Die Advanced Hunting API von Microsoft ist leistungsstark, unterliegt jedoch Kontingenten. Finden Sie heraus, wie Akuity SOC Rate Limiting Ihre MSSP-Mandanten schützt.
Der praktische Leitfaden von DeviceProcessEvents: Aufdecken von dateiloser Malware
Angreifer nutzen PowerShell und CMD, um Antivirenprogramme zu umgehen. Erfahren Sie, wie Sie diese Fileless-Malware mit der KQL-DeviceProcessEvents-Tabelle aufspüren.
Netzwerkverbindungsfehler nach IP analysieren: Das zu kopierende KQL-Modell
Brute-Force- und Passwort-Spraying-Angriffe zielen auf Ihre Entra-ID-Konten ab. Erfahren Sie, wie Sie sie mithilfe der KQL-DeviceLogonEvents-Tabelle verfolgen.
Isolieren Sie verdächtige Kommunikation: KQL für die Ports 4444 und 8080
Hacker nutzen nicht standardmäßige Netzwerkports, um Daten auszuschleusen. Erfahren Sie, wie Sie sie mit der DeviceNetworkEvents-Tabelle in KQL blockieren.