العمل مع نتائج استعلام التتبع المتقدمة
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.
بينما يمكنك إنشاء استعلامات التتبع المتقدمة الخاصة بك لإرجاع معلومات دقيقة، يمكنك أيضا العمل مع نتائج الاستعلام للحصول على مزيد من التفاصيل والتحقيق في أنشطة ومؤشرات محددة. يمكنك اتخاذ الإجراءات التالية على نتائج الاستعلام:
- عرض النتائج كجدول أو مخطط
- تصدير الجداول والمخططات
- التنقل لأسفل للحصول على معلومات الكيان التفصيلية
- تعديل استعلاماتك مباشرة من النتائج
عرض نتائج الاستعلام كجدول أو مخطط
بشكل افتراضي، يعرض التتبع المتقدم نتائج الاستعلام كبيانات جدولية. يمكنك أيضا عرض نفس البيانات كمخطط. يدعم التتبع المتقدم طرق العرض التالية:
| نوع العرض | الوصف |
|---|---|
| جدول | عرض نتائج الاستعلام بتنسيق جدولي |
| مخطط عمودي | عرض سلسلة من العناصر الفريدة على المحور س كأشرطة عمودية تمثل ارتفاعاتها قيما رقمية من حقل آخر |
| مخطط دائري | يعرض فطائر مقطعية تمثل عناصر فريدة. يمثل حجم كل دائرة قيما رقمية من حقل آخر. |
| مخطط خطي | رسم القيم الرقمية لسلسلة من العناصر الفريدة وتوصيل القيم المرسومة |
| مخطط مبعثر | رسم القيم الرقمية لسلسلة من العناصر الفريدة |
| مخطط مساحي | رسم القيم الرقمية لسلسلة من العناصر الفريدة وتعبئة المقاطع أسفل القيم المرسومة |
| مخطط مساحي مكدس | رسم القيم الرقمية لسلسلة من العناصر الفريدة وتكديس المقاطع المملوءة أسفل القيم المرسومة |
| مخطط زمني | رسم القيم حسب العدد على مقياس زمني خطي |
إنشاء استعلامات للمخططات الفعالة
عند عرض المخططات، يحدد التتبع المتقدم تلقائيا الأعمدة ذات الاهتمام والقيم الرقمية المراد تجميعها. للحصول على مخططات ذات معنى، قم بإنشاء استعلاماتك لإرجاع القيم المحددة التي تريد رؤيتها مرئية. فيما يلي بعض نماذج الاستعلامات والمخططات الناتجة.
التنبيهات حسب الخطورة
summarize استخدم عامل التشغيل للحصول على عدد رقمي للقيم التي تريد مخططها. يستخدم summarize الاستعلام أدناه عامل التشغيل للحصول على عدد التنبيهات حسب الخطورة.
AlertInfo
| summarize Total = count() by Severity
عند عرض النتائج، يعرض المخطط العمودي كل قيمة خطورة ك عمود منفصل:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
رسائل البريد الإلكتروني التصيد الاحتيالي عبر أهم عشرة مجالات للمرسلين
إذا كنت تتعامل مع قائمة من القيم غير المحدودة، يمكنك استخدام Top عامل التشغيل لتخطيط القيم التي تحتوي على معظم المثيلات فقط. على سبيل المثال، للحصول على أفضل 10 مجالات مرسل مع معظم رسائل البريد الإلكتروني التصيد الاحتيالي، استخدم الاستعلام أدناه:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
استخدم طريقة عرض المخطط الدائري لإظهار التوزيع بشكل فعال عبر المجالات العلوية:
أنشطة الملفات بمرور الوقت
summarize باستخدام عامل التشغيل مع الدالة bin() ، يمكنك التحقق من الأحداث التي تتضمن مؤشرا معينا بمرور الوقت. يحسب الاستعلام أدناه الأحداث التي تتضمن الملف invoice.doc بفواصل زمنية مدتها 30 دقيقة لإظهار الارتفاعات الحادة في النشاط المتعلق بهذا الملف:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
يسلط المخطط الخطي أدناه الضوء بوضوح على الفترات الزمنية مع مزيد من النشاط الذي يتضمن invoice.doc:
تصدير الجداول والمخططات
بعد تشغيل استعلام، حدد تصدير لحفظ النتائج في ملف محلي. تحدد طريقة العرض التي اخترتها كيفية تصدير النتائج:
- طريقة عرض الجدول — يتم تصدير نتائج الاستعلام في شكل جدولي كمصنف Microsoft Excel
- أي مخطط - يتم تصدير نتائج الاستعلام كصورة JPEG للمخطط المعروض
تصفية النتائج
بعد تشغيل استعلام، حدد تصفية لتضييق نطاق النتائج.
لإضافة عامل تصفية، حدد البيانات التي تريد التصفية لها عن طريق تحديد خانة اختيار واحدة أو أكثر. ثم حدد إضافة.
يمكنك تضييق النتائج بشكل أكبر إلى بيانات محددة عن طريق تحديد عامل التصفية المضاف حديثا.
يؤدي ذلك إلى فتح قائمة منسدلة تعرض عوامل التصفية المحتملة التي يمكنك استخدامها بشكل أكبر. حدد خانة اختيار واحدة أو أكثر، ثم حدد تطبيق.
تأكد من إضافة عوامل التصفية التي تريدها عن طريق التحقق من قسم عوامل التصفية.
التنقل لأسفل من نتائج الاستعلام
يمكنك أيضا استكشاف النتائج بما يتماشى مع الميزات التالية:
- توسيع نتيجة عن طريق تحديد سهم القائمة المنسدلة على يسار كل نتيجة
- عند الاقتضاء، قم بتوسيع تفاصيل النتائج بتنسيقات JSON والصفيف عن طريق تحديد سهم القائمة المنسدلة على يسار أسماء الأعمدة القابلة للتطبيق لسهولة القراءة المضافة
- افتح الجزء الجانبي لمشاهدة تفاصيل السجل (متزامن مع الصفوف الموسعة)
يمكنك أيضا النقر بزر الماوس الأيمن فوق أي قيمة نتيجة في صف بحيث يمكنك استخدامها لإضافة المزيد من عوامل التصفية إلى الاستعلام الموجود أو نسخ القيمة لاستخدامها في مزيد من التحقيق.
علاوة على ذلك، بالنسبة لحقول JSON والصفيف، يمكنك النقر بزر الماوس الأيمن فوق الاستعلام الموجود وتحديثه لتضمين الحقل أو استبعاده، أو لتوسيع الحقل إلى عمود جديد.
لفحص سجل بسرعة في نتائج الاستعلام، حدد الصف المقابل لفتح لوحة فحص السجلات . توفر اللوحة المعلومات التالية استنادا إلى السجل المحدد:
- الأصول - طريقة عرض ملخصة للأصول الرئيسية (علب البريد والأجهزة والمستخدمين) الموجودة في السجل، والمثرية بالمعلومات المتوفرة، مثل مستويات المخاطر والتعرض
- جميع التفاصيل — كافة القيم من الأعمدة في السجل
لعرض مزيد من المعلومات حول كيان معين في نتائج الاستعلام، مثل جهاز أو ملف أو مستخدم أو عنوان IP أو عنوان URL، حدد معرف الكيان لفتح صفحة ملف تعريف مفصلة لهذا الكيان.
تعديل استعلاماتك من النتائج
حدد النقاط الثلاث الموجودة على يمين أي عمود في لوحة سجل الفحص . يمكنك استخدام الخيارات من أجل:
- ابحث بشكل صريح عن القيمة المحددة (
==) - استبعاد القيمة المحددة من الاستعلام (
!=) - احصل على عوامل تشغيل أكثر تقدما لإضافة القيمة إلى استعلامك، مثل
containsوstarts withوends with
ملاحظة
قد لا تتوفر بعض الجداول في هذه المقالة في Microsoft Defender لنقطة النهاية. قم بتشغيل Microsoft Defender XDR للبحث عن التهديدات باستخدام المزيد من مصادر البيانات. يمكنك نقل مهام سير عمل التتبع المتقدمة من Microsoft Defender لنقطة النهاية إلى Microsoft Defender XDR باتباع الخطوات الواردة في ترحيل استعلامات التتبع المتقدمة من Microsoft Defender لنقطة النهاية.
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
- نظرة عامة على الكشف المخصص
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.