العمل مع نتائج استعلام التتبع المتقدمة

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

بينما يمكنك إنشاء استعلامات التتبع المتقدمة الخاصة بك لإرجاع معلومات دقيقة، يمكنك أيضا العمل مع نتائج الاستعلام للحصول على مزيد من التفاصيل والتحقيق في أنشطة ومؤشرات محددة. يمكنك اتخاذ الإجراءات التالية على نتائج الاستعلام:

  • عرض النتائج كجدول أو مخطط
  • تصدير الجداول والمخططات
  • التنقل لأسفل للحصول على معلومات الكيان التفصيلية
  • تعديل استعلاماتك مباشرة من النتائج

عرض نتائج الاستعلام كجدول أو مخطط

بشكل افتراضي، يعرض التتبع المتقدم نتائج الاستعلام كبيانات جدولية. يمكنك أيضا عرض نفس البيانات كمخطط. يدعم التتبع المتقدم طرق العرض التالية:

نوع العرض الوصف
الجدول عرض نتائج الاستعلام بتنسيق جدولي
مخطط عمودي عرض سلسلة من العناصر الفريدة على المحور س كأشرطة عمودية تمثل ارتفاعاتها قيما رقمية من حقل آخر
مخطط دائري يعرض فطائر مقطعية تمثل عناصر فريدة. يمثل حجم كل دائرة قيما رقمية من حقل آخر.
مخطط خطي رسم القيم الرقمية لسلسلة من العناصر الفريدة وتوصيل القيم المرسومة
مخطط مبعثر رسم القيم الرقمية لسلسلة من العناصر الفريدة
مخطط مساحي رسم القيم الرقمية لسلسلة من العناصر الفريدة وتعبئة المقاطع أسفل القيم المرسومة
مخطط مساحي مكدس رسم القيم الرقمية لسلسلة من العناصر الفريدة وتكديس المقاطع المملوءة أسفل القيم المرسومة
مخطط زمني رسم القيم حسب العدد على مقياس زمني خطي

إنشاء استعلامات للمخططات الفعالة

عند عرض المخططات، يحدد التتبع المتقدم تلقائيا الأعمدة ذات الاهتمام والقيم الرقمية المراد تجميعها. للحصول على مخططات ذات معنى، قم بإنشاء استعلاماتك لإرجاع القيم المحددة التي تريد رؤيتها مرئية. فيما يلي بعض نماذج الاستعلامات والمخططات الناتجة.

التنبيهات حسب الخطورة

summarize استخدم عامل التشغيل للحصول على عدد رقمي للقيم التي تريد مخططها. يستخدم summarize الاستعلام أدناه عامل التشغيل للحصول على عدد التنبيهات حسب الخطورة.

AlertInfo
| summarize Total = count() by Severity

عند عرض النتائج، يعرض المخطط العمودي كل قيمة خطورة ك عمود منفصل:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

مثال على مخطط يعرض نتائج تتبع متقدمة في مدخل Microsoft Defender

رسائل البريد الإلكتروني التصيد الاحتيالي عبر أهم عشرة مجالات للمرسلين

إذا كنت تتعامل مع قائمة من القيم غير المحدودة، يمكنك استخدام Top عامل التشغيل لتخطيط القيم التي تحتوي على معظم المثيلات فقط. على سبيل المثال، للحصول على أفضل 10 مجالات مرسل مع معظم رسائل البريد الإلكتروني التصيد الاحتيالي، استخدم الاستعلام أدناه:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

استخدم طريقة عرض المخطط الدائري لإظهار التوزيع بشكل فعال عبر المجالات العلوية:

المخطط الدائري الذي يعرض نتائج تتبع متقدمة في مدخل Microsoft Defender

أنشطة الملفات بمرور الوقت

summarize باستخدام عامل التشغيل مع الدالة bin() ، يمكنك التحقق من الأحداث التي تتضمن مؤشرا معينا بمرور الوقت. يحسب الاستعلام أدناه الأحداث التي تتضمن الملف invoice.doc بفواصل زمنية مدتها 30 دقيقة لإظهار الارتفاعات الحادة في النشاط المتعلق بهذا الملف:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

يسلط المخطط الخطي أدناه الضوء بوضوح على الفترات الزمنية مع مزيد من النشاط الذي يتضمن invoice.doc:

المخطط الخطي الذي يعرض نتائج تتبع متقدمة في مدخل Microsoft Defender

تصدير الجداول والمخططات

بعد تشغيل استعلام، حدد تصدير لحفظ النتائج في ملف محلي. تحدد طريقة العرض التي اخترتها كيفية تصدير النتائج:

  • طريقة عرض الجدول — يتم تصدير نتائج الاستعلام في شكل جدولي كمصنف Microsoft Excel
  • أي مخطط - يتم تصدير نتائج الاستعلام كصورة JPEG للمخطط المعروض

التنقل لأسفل من نتائج الاستعلام

يمكنك أيضا استكشاف النتائج بما يتماشى مع الميزات التالية:

  • توسيع نتيجة عن طريق تحديد سهم القائمة المنسدلة على يسار كل نتيجة
  • عند الاقتضاء، قم بتوسيع تفاصيل النتائج بتنسيقات JSON والصفيف عن طريق تحديد سهم القائمة المنسدلة على يسار أسماء الأعمدة القابلة للتطبيق لسهولة القراءة المضافة
  • افتح الجزء الجانبي لمشاهدة تفاصيل السجل (متزامن مع الصفوف الموسعة)

لقطة شاشة لتوسيع النتائج للتنقل لأسفل

يمكنك أيضا النقر بزر الماوس الأيمن فوق أي قيمة نتيجة في صف بحيث يمكنك استخدامها لإضافة المزيد من عوامل التصفية إلى الاستعلام الموجود أو نسخ القيمة لاستخدامها في مزيد من التحقيق.

لقطة شاشة للخيارات عند النقر بزر الماوس الأيمن فوق أحد الخيارات

علاوة على ذلك، بالنسبة لحقول JSON والصفيف، يمكنك النقر بزر الماوس الأيمن فوق الاستعلام الموجود وتحديثه لتضمين الحقل أو استبعاده، أو لتوسيع الحقل إلى عمود جديد.

لقطة شاشة للخيارات عند النقر بزر الماوس الأيمن فوق خيار لحقول JSON والصفيف

لفحص سجل بسرعة في نتائج الاستعلام، حدد الصف المقابل لفتح لوحة فحص السجلات . توفر اللوحة المعلومات التالية استنادا إلى السجل المحدد:

  • الأصول - طريقة عرض ملخصة للأصول الرئيسية (علب البريد والأجهزة والمستخدمين) الموجودة في السجل، والمثرية بالمعلومات المتوفرة، مثل مستويات المخاطر والتعرض
  • جميع التفاصيل — كافة القيم من الأعمدة في السجل

السجل المحدد مع لوحة لفحص السجل في مدخل Microsoft Defender

لعرض مزيد من المعلومات حول كيان معين في نتائج الاستعلام، مثل جهاز أو ملف أو مستخدم أو عنوان IP أو عنوان URL، حدد معرف الكيان لفتح صفحة ملف تعريف مفصلة لهذا الكيان.

تعديل استعلاماتك من النتائج

حدد النقاط الثلاث الموجودة على يمين أي عمود في لوحة سجل الفحص . يمكنك استخدام الخيارات من أجل:

  • ابحث بشكل صريح عن القيمة المحددة (==)
  • استبعاد القيمة المحددة من الاستعلام (!=)
  • احصل على عوامل تشغيل أكثر تقدما لإضافة القيمة إلى استعلامك، مثل containsو starts withو ends with

جزء نوع الإجراء في صفحة فحص السجل في مدخل Microsoft Defender

ملاحظة

قد لا تتوفر بعض الجداول في هذه المقالة في Microsoft Defender لنقطة النهاية. قم بتشغيل Microsoft Defender XDR للبحث عن التهديدات باستخدام المزيد من مصادر البيانات. يمكنك نقل مهام سير عمل التتبع المتقدمة من Microsoft Defender لنقطة النهاية إلى Microsoft Defender XDR باتباع الخطوات الواردة في ترحيل استعلامات التتبع المتقدمة من Microsoft Defender لنقطة النهاية.

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.