Získejte odborné školení o pokročilém proaktivním vyhledávání
Platí pro:
- Microsoft Defender XDR
Vylepšte své znalosti pokročilého proaktivního vyhledávání pomocí sledování protivníka, což je série webových přenosů pro nové analytiky zabezpečení a zkušené lovce hrozeb. Tato série vás provede základy vytváření vlastních sofistikovaných dotazů. Začněte s prvním videem o základech nebo přejděte na pokročilejší videa, která vyhovují vaší úrovni zkušeností.
| Title | Popis | Sledovat | Dotazy |
|---|---|---|---|
| Epizoda 1: Základy KQL | Tato epizoda se věnuje základům pokročilého vyhledávání v Microsoft Defender XDR. Seznamte se s dostupnými pokročilými daty proaktivního vyhledávání a základní syntaxí a operátory KQL. | YouTube (54:14) | Textový soubor |
| Epizoda 2: Spojení | Dál se seznamte s daty v pokročilém proaktivním vyhledávání a o tom, jak spojit tabulky.
inner
outerSeznamte se s , , uniquea semi spojeními a seznamte se s nuancemi výchozího spojení Kustoinnerunique. |
YouTube (53:33) | Textový soubor |
| Epizoda 3: Shrnutí, otočení a vizualizace dat | Teď, když jste se naučili data filtrovat, manipulovat s nimi a spojovat je, je čas na shrnutí, kvantifikaci, pivot a vizualizaci. Tato epizoda popisuje summarize operátor a různé výpočty a zároveň představuje další tabulky ve schématu. Naučíte se také převést datové sady na grafy, které vám pomůžou získat přehled. |
YouTube (48:52) | Textový soubor |
| Epizoda 4: Pojďme lovit! Použití KQL na sledování incidentů | V této epizodě se naučíte sledovat aktivitu útočníka. Ke sledování útoku používáme naše vylepšené znalosti Kusto a pokročilé proaktivní vyhledávání. Seznamte se se skutečnými triky používanými v terénu, včetně bezpečnostních bezpečnostních adaptérů kybernetické bezpečnosti a jejich použití při reakci na incidenty. | YouTube (59:36) | Textový soubor |
Získejte odborné školení s L33TSP3AK: Rozšířené vyhledávání v Microsoft Defender XDR, což je série webových přenosů pro analytiky, kteří chtějí rozšířit své technické znalosti a praktické dovednosti při provádění šetření zabezpečení pomocí pokročilého proaktivního vyhledávání v Microsoft Defender XDR.
| Title | Popis | Sledovat | Dotazy |
|---|---|---|---|
| 1. díl | V této epizodě se seznámíte s různými osvědčenými postupy při spouštění pokročilých dotazů proaktivního vyhledávání. Mezi probíraná témata patří: jak optimalizovat dotazy, používat pokročilé vyhledávání ransomwaru, zpracovávat JSON jako dynamický typ a pracovat s externími datovými operátory. | YouTube (56:34) | Textový soubor |
| Epizoda 2 | V této epizodě se dozvíte, jak prozkoumat podezřelá nebo neobvyklá místa přihlášení a exfiltraci dat prostřednictvím pravidel předávání doručené pošty a reagovat na ně. Sebastien Molendijk, vedoucí programový manažer CxE pro zabezpečení cloudu, sdílí informace o tom, jak pomocí rozšířeného proaktivního vyhledávání vyšetřovat vícefázové incidenty s Microsoft Defender for Cloud Apps daty. | YouTube (57:07) | Textový soubor |
| Epizoda 3 | V této epizodě se budeme zabývat nejnovějšími vylepšeními rozšířeného proaktivního vyhledávání, importem externího zdroje dat do dotazu a použitím dělení na segmentování velkých výsledků dotazů do menších sad výsledků, abyste se vyhnuli dosažení limitů rozhraní API. | YouTube (40:59) | Textový soubor |
Jak používat soubor CSL
Před zahájením epizody přejděte k odpovídajícímu textovému souboru na GitHubu a zkopírujte jeho obsah do editoru pokročilých dotazů proaktivního vyhledávání. Při watch epizody můžete pomocí zkopírovaného obsahu sledovat mluvčího a spouštět dotazy.
Následující úryvek z textového souboru obsahujícího dotazy ukazuje komplexní sadu pokynů označených jako komentáře pomocí //.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Stejný textový soubor obsahuje dotazy před a za komentáři, jak je znázorněno níže. Pokud chcete v editoru spustit konkrétní dotaz s více dotazy, přesuňte kurzor na tento dotaz a vyberte Spustit dotaz.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Další zdroje informací
| Title | Popis | Sledovat |
|---|---|---|
| Spojování tabulek v KQL | Naučte se spojovat tabulky při vytváření smysluplných výsledků. | YouTube (4:17) |
| Optimalizace tabulek v KQL | Zjistěte, jak se vyhnout vypršení časových limitů při spouštění složitých dotazů optimalizací dotazů. | YouTube (5:38) |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Seznámení s pokročilým dotazovacím jazykem proaktivního vyhledávání
- Práce s výsledky dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.