مثال تتبع متقدم Microsoft Defender لـ Office 365

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

هل تريد البدء في البحث عن تهديدات البريد الإلكتروني باستخدام التتبع المتقدم؟ جرب الخطوات التالية:

يشرح دليل توزيع Microsoft Defender لـ Office 365 كيفية الانتقال مباشرة والحصول على التكوين في اليوم 1.

اعتمادا على نهج الأمان المحدد مسبقا مقابل خيارات النهج المخصصة، من المهم معرفة ما إذا كانت هناك رسالة ضارة تمت إزالتها من علبة بريد بعد التسليم.

يعد الانتقال بسرعة إلى لغة استعلام Kusto للبحث عن المشكلات ميزة لتقارب هذين المركزين الأمنيين. يمكن لفرق الأمان مراقبة أخطاء ZAP من خلال اتخاذ خطواتها التالية في مدخل Microsoft Defender في https://security.microsoft.com>Hunting>Advanced Hunting.

  1. في صفحة التتبع المتقدم في https://security.microsoft.com/v2/advanced-hunting، تحقق من تحديد علامة التبويب استعلام جديد .

  2. انسخ الاستعلام التالي في مربع الاستعلام :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. حدد تشغيل الاستعلام.

صفحة التتبع المتقدم (ضمن التتبع) مع تحديد الاستعلام في أعلى لوحة الاستعلام، وتشغيل استعلام Kusto لالتقاط إجراءات ZAP خلال الأيام السبعة الماضية.

تظهر البيانات من هذا الاستعلام في لوحة النتائج أسفل الاستعلام نفسه. تتضمن النتائج معلومات مثل DeviceNameو AccountDisplayNameو ZapTime في مجموعة نتائج قابلة للتخصيص. يمكن أيضا تصدير النتائج لسجلاتك. لحفظ الاستعلام لإعادة استخدامه، حدد حفظ>باسم لإضافة الاستعلام إلى قائمة الاستعلامات أو الاستعلامات المشتركة أو المجتمع.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.