مشاركة عبر

البحث بسرعة عن معلومات الكيان أو الحدث باستخدام go hunt

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

باستخدام إجراء البحث go ، يمكنك التحقيق بسرعة في الأحداث وأنواع الكيانات المختلفة باستخدام قدرات تتبع متقدمة قوية تستند إلى الاستعلام. يقوم هذا الإجراء تلقائيا بتشغيل استعلام تتبع متقدم للعثور على معلومات ذات صلة حول الحدث أو الكيان المحدد.

يتوفر إجراء التتبع في أقسام مختلفة من Microsoft Defender XDR. يتوفر هذا الإجراء لعرضه بمجرد عرض تفاصيل الحدث أو الكيان. على سبيل المثال، يمكنك استخدام خيار go hunt من الأقسام التالية:

  • في صفحة الحدث، يمكنك مراجعة تفاصيل حول المستخدمين والأجهزة والعديد من الكيانات الأخرى المرتبطة بالحادث. أثناء تحديد كيان، تحصل على معلومات إضافية والإجراءات المختلفة التي يمكنك اتخاذها على هذا الكيان. في المثال أدناه، يتم تحديد علبة بريد تعرض تفاصيل حول علبة البريد وخيار البحث عن مزيد من المعلومات حول علبة البريد.

    صفحة Mailboxes مع خيار Go hunt في مدخل Microsoft Defender

  • في صفحة الحدث، يمكنك أيضا الوصول إلى قائمة الكيانات ضمن علامة التبويب Evidence . يوفر تحديد أحد هذه الكيانات خيارا للبحث بسرعة عن معلومات حول هذا الكيان.

    خيار Go hunt للحصول على جزء من الأدلة في صفحة Incident في مدخل Microsoft Defender

  • عند عرض المخطط الزمني لجهاز، يمكنك تحديد حدث في المخطط الزمني لعرض معلومات إضافية حول هذا الحدث. بمجرد تحديد حدث، يمكنك الحصول على خيار البحث عن الأحداث الأخرى ذات الصلة في التتبع المتقدم.

    خيار البحث عن الأحداث ذات الصلة في صفحة الحدث في علامة التبويب المخططات الزمنية في مدخل Microsoft Defender

يؤدي تحديد Go hunt أو Hunt للأحداث ذات الصلة إلى تمرير استعلامات مختلفة، اعتمادا على ما إذا كنت قد حددت كيانا أو حدثا.

الاستعلام عن معلومات الكيان

يمكنك استخدام go hunt للاستعلام عن معلومات حول مستخدم أو جهاز أو أي نوع آخر من الكيانات؛ يتحقق الاستعلام من جميع جداول المخطط ذات الصلة لأي أحداث تتضمن هذا الكيان لإرجاع المعلومات. للحفاظ على النتائج قابلة للإدارة، الاستعلام هو:

  • تم تحديد نطاقه إلى نفس الفترة الزمنية تقريبا مثل النشاط الأقدم في آخر 30 يوما الذي يتضمن الكيان
  • مرتبط بالحادث.

فيما يلي مثال على استعلام go hunt لجهاز:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

أنواع الكيانات المدعومة

يمكنك استخدام خيار go hunt بعد تحديد أي من أنواع الكيانات هذه:

  • الاجهزه
  • مجموعات البريد الإلكتروني
  • رسائل البريد الالكتروني
  • الملفات
  • المجموعات
  • عناوين IP
  • صناديق البريد
  • المستخدمون
  • عناوين url

الاستعلام عن معلومات الحدث

عند استخدام go hunt للاستعلام عن معلومات حول حدث مخطط زمني، يتحقق الاستعلام من جميع جداول المخطط ذات الصلة للأحداث الأخرى حول وقت الحدث المحدد. على سبيل المثال، يسرد الاستعلام التالي الأحداث في جداول مخطط مختلفة حدثت في نفس الفترة الزمنية تقريبا على نفس الجهاز:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

ضبط الاستعلام

مع بعض المعرفة بلغة الاستعلام، يمكنك ضبط الاستعلام وفقا لتفضيلك. على سبيل المثال، يمكنك ضبط هذا السطر، الذي يحدد حجم النافذة الزمنية:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

بالإضافة إلى تعديل الاستعلام للحصول على نتائج أكثر صلة، يمكنك أيضا:

ملاحظة

قد لا تتوفر بعض الجداول في هذه المقالة في Microsoft Defender لنقطة النهاية. قم بتشغيل Microsoft Defender XDR للبحث عن التهديدات باستخدام المزيد من مصادر البيانات. يمكنك نقل مهام سير عمل التتبع المتقدمة من Microsoft Defender لنقطة النهاية إلى Microsoft Defender XDR باتباع الخطوات الواردة في ترحيل استعلامات التتبع المتقدمة من Microsoft Defender لنقطة النهاية.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.