تحسين الاستعلام في الوضع الموجه

ينطبق على:

• Microsoft Defender XDR

هام

تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.

استخدام أنواع بيانات مختلفة

يدعم التتبع المتقدم في الوضع الإرشادي العديد من أنواع البيانات التي يمكنك استخدامها لضبط استعلامك.

• ارقام
  

• سلاسل
  

  في مربع النص المجاني، اكتب القيمة واضغط على مفتاح الإدخال Enter لإضافتها. لاحظ أن المحدد بين القيم هو Enter.
  

  

• منطقي
  

• Datetime
  

• قائمة مغلقة - لا تحتاج إلى تذكر القيمة الدقيقة التي تبحث عنها. يمكنك الاختيار بسهولة من قائمة مغلقة مقترحة تدعم التحديد المتعدد.
  

استخدام المجموعات الفرعية

يمكنك إنشاء مجموعات من الشروط بالنقر فوق إضافة مجموعة فرعية:

استخدام الإكمال التلقائي الذكي للبحث

يتم دعم الإكمال التلقائي الذكي للبحث في الأجهزة وحسابات المستخدمين. لا تحتاج إلى تذكر معرف الجهاز أو اسم الجهاز الكامل أو اسم حساب المستخدم. يمكنك البدء في كتابة الأحرف القليلة الأولى من الجهاز أو المستخدم الذي تبحث عنه وتظهر قائمة مقترحة يمكنك من خلالها اختيار ما تحتاجه:

استخدام EventType

يمكنك حتى البحث عن أنواع أحداث معينة مثل جميع عمليات تسجيل الدخول الفاشلة أو أحداث تعديل الملفات أو اتصالات الشبكة الناجحة باستخدام عامل تصفية EventType في أي قسم حيثما ينطبق.

على سبيل المثال، إذا كنت تريد إضافة شرط يبحث عن عمليات حذف قيمة التسجيل، يمكنك الانتقال إلى قسم أحداث السجل وتحديد EventType.

يتيح لك تحديد EventType ضمن أحداث السجل الاختيار من بين أحداث التسجيل المختلفة، بما في ذلك الأحداث التي تبحث عنها، RegistryValueDeleted.

ملاحظة

EventType هو ما يعادل ActionType في مخطط البيانات، والذي قد يكون مستخدمو الوضع المتقدم أكثر دراية به.

اختبار الاستعلام بحجم عينة أصغر

إذا كنت لا تزال تعمل على استعلامك وترغب في رؤية أدائه وبعض نتائج العينة بسرعة، فقم بضبط عدد السجلات لإرجاعها عن طريق اختيار مجموعة أصغر من خلال القائمة المنسدلة حجم العينة .

يتم تعيين حجم العينة إلى 10000 نتيجة بشكل افتراضي. هذا هو الحد الأقصى لعدد السجلات التي يمكن إرجاعها في التتبع. ومع ذلك، نوصي بشدة بخفض حجم العينة إلى 10 أو 100 لاختبار الاستعلام بسرعة لأن القيام بذلك يستهلك موارد أقل بينما لا تزال تعمل على تحسين الاستعلام.

بعد ذلك، بمجرد الانتهاء من الاستعلام الخاص بك وتكون جاهزا لاستخدامه للحصول على جميع النتائج ذات الصلة لنشاط التتبع الخاص بك، تأكد من تعيين حجم العينة إلى 10 آلاف، الحد الأقصى.

التبديل إلى الوضع المتقدم بعد إنشاء استعلام

يمكنك النقر فوق تحرير في KQL لعرض استعلام KQL الذي تم إنشاؤه بواسطة الشروط المحددة. التحرير في KQL يفتح علامة تبويب جديدة في الوضع المتقدم، مع استعلام KQL المقابل:

في المثال أعلاه، طريقة العرض المحددة هي الكل، لذلك يمكنك أن ترى أن استعلام KQL يبحث في جميع الجداول التي تحتوي على خصائص ملف بالاسم وSHA256، وفي جميع الأعمدة ذات الصلة التي تغطي هذه الخصائص.

إذا قمت بتغيير طريقة العرض إلى رسائل البريد الإلكتروني & التعاون، يتم تضييق نطاق الاستعلام إلى:

راجع أيضًا

• حصص التتبع المتقدمة ومعلمات الاستخدام
• توسيع تغطية التتبع المتقدمة بالإعدادات الصحيحة

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.