Rychlé vyhledávání informací o entitách nebo událostech pomocí funkce Go Hunt

  • Článek

Platí pro:

  • Microsoft Defender XDR

Pomocí akce go proaktivního vyhledávání můžete rychle zkoumat události a různé typy entit pomocí výkonných možností rozšířeného proaktivního vyhledávání založeného na dotazech. Tato akce automaticky spustí rozšířený dotaz proaktivního vyhledávání, který vyhledá relevantní informace o vybrané události nebo entitě.

Akce go hunt je k dispozici v různých částech Microsoft Defender XDR. Tato akce je k dispozici k zobrazení po zobrazení podrobností o události nebo entitě. Můžete například použít možnost Proaktivní hledání z následujících částí:

  • Na stránce incidentu můžete zkontrolovat podrobnosti o uživatelích, zařízeních a mnoha dalších entitách přidružených k incidentu. Při výběru entity získáte další informace a různé akce, které s entitou můžete provést. V následujícím příkladu je vybraná poštovní schránka s podrobnostmi o poštovní schránce a možností vyhledat další informace o poštovní schránce.

    Stránka Poštovní schránky s možností Přejít na portálu Microsoft Defender

  • Na stránce incidentu máte také přístup k seznamu entit na kartě Důkazy . Výběrem jedné z těchto entit získáte možnost rychle vyhledat informace o této entitě.

    Možnost Hledání důkazů na stránce Incident na portálu Microsoft Defender

  • Při prohlížení časové osy zařízení můžete vybrat událost na časové ose a zobrazit další informace o této události. Jakmile vyberete událost, získáte možnost vyhledat další relevantní události v rozšířeném proaktivním vyhledávání.

    Možnost Vyhledat související události na stránce události na kartě Časové osy na portálu Microsoft Defender

Když vyberete Přejít proaktivní vyhledávání nebo Vyhledat související události , projdete různými dotazy v závislosti na tom, jestli jste vybrali entitu nebo událost.

Dotaz na informace o entitách

K dotazování na informace o uživateli, zařízení nebo jiném typu entity můžete použít funkci Go Hunt . dotaz zkontroluje, jestli všechny relevantní tabulky schématu neobsahují události zahrnující danou entitu, aby se vrátily informace. Aby bylo možné výsledky spravovat, dotaz je následující:

  • přibližně na stejné časové období jako u nejstarší aktivity v posledních 30 dnech, která zahrnuje danou entitu
  • související s incidentem.

Tady je příklad dotazu go hunt pro zařízení:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Podporované typy entit

Po výběru některého z těchto typů entit můžete použít možnost go hunt :

  • Zařízení
  • Email clustery
  • E-maily
  • Soubory
  • Skupiny
  • IP adresy
  • Poštovní schránky
  • Uživatelé
  • Adresy url

Dotaz na informace o událostech

Pokud používáte funkci Go Hunt k dotazování na informace o události časové osy, dotaz zkontroluje ve všech relevantních tabulkách schémat další události v době vybrané události. Následující dotaz například vypíše události v různých tabulkách schématu, ke kterým došlo přibližně ve stejném časovém období na stejném zařízení:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Úprava dotazu

S určitou znalostí dotazovacího jazyka můžete dotaz upravit podle svých preferencí. Můžete například upravit tento řádek, který určuje velikost časového okna:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Kromě úprav dotazu tak, aby získal relevantnější výsledky, můžete také:

Poznámka

Některé tabulky v tomto článku nemusí být v Microsoft Defender for Endpoint dostupné. Zapněte Microsoft Defender XDR pro vyhledávání hrozeb s využitím více zdrojů dat. Pokročilé pracovní postupy proaktivního vyhledávání můžete přesunout z Microsoft Defender for Endpoint do Microsoft Defender XDR pomocí kroků v tématu Migrace dotazů rozšířeného proaktivního vyhledávání z Microsoft Defender for Endpoint.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.