Upřesnění dotazu v režimu s asistencí
Platí pro:
- Microsoft Defender XDR
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Použití různých datových typů
Rozšířené proaktivní vyhledávání v režimu s asistencí podporuje několik datových typů, které můžete použít k vyladění dotazu.
Čísla
Řetězce
Do pole volného textu zadejte hodnotu a stisknutím klávesy Enter ji přidejte. Všimněte si, že oddělovač mezi hodnotami je Enter.
Boolean
Datetime
Uzavřený seznam – nemusíte si pamatovat přesnou hodnotu, kterou hledáte. Můžete si snadno vybrat z navrhovaného uzavřeného seznamu, který podporuje vícenásobný výběr.
Použití podskupin
Skupiny podmínek můžete vytvořit kliknutím na Přidat podskupinu:
Použití inteligentního automatického dokončování pro vyhledávání
Podporuje se inteligentní automatické dokončování pro vyhledávání zařízení a uživatelských účtů. Nemusíte si pamatovat ID zařízení, úplný název zařízení ani název uživatelského účtu. Můžete začít psát několik prvních znaků zařízení nebo uživatele, které hledáte, a zobrazí se seznam návrhů, ze kterých si můžete vybrat, co potřebujete:
Použít EventType
Můžete dokonce vyhledat konkrétní typy událostí, jako jsou všechna neúspěšná přihlášení, události změny souborů nebo úspěšná síťová připojení, pomocí filtru EventType v libovolné části, kde je to možné.
Pokud například chcete přidat podmínku, která hledá odstranění hodnoty registru, můžete přejít do části Události registru a vybrat Typ události.
Výběrem možnosti EventType v části Události registru můžete vybírat z různých událostí registru, včetně těch, které hledáte, RegistryValueDeleted.
Poznámka
EventType je ekvivalentem ActionType schématu dat, se kterým se můžou uživatelé rozšířeného režimu seznámit lépe.
Testování dotazu s menší velikostí vzorku
Pokud na dotazu stále pracujete a chcete rychle vidět jeho výkon a ukázkové výsledky, upravte počet vrácených záznamů výběrem menší sady v rozevírací nabídce Velikost vzorku .
Velikost vzorku je ve výchozím nastavení nastavená na 10 000 výsledků. Jedná se o maximální počet záznamů, které je možné vrátit při proaktivním vyhledávání. Důrazně ale doporučujeme zmenšit velikost vzorku na 10 nebo 100, aby se dotaz rychle otestoval, protože tento dotaz spotřebovává méně prostředků, zatímco stále pracujete na vylepšení dotazu.
Jakmile pak dokončíte dotaz a budete připraveni ho použít k získání všech relevantních výsledků pro vaši aktivitu proaktivního vyhledávání, ujistěte se, že je velikost vzorku nastavená na 10 tisíc, což je maximální hodnota.
Přepnutí do rozšířeného režimu po vytvoření dotazu
Kliknutím na Upravit v KQL můžete zobrazit dotaz KQL vygenerovaný vybranými podmínkami. Při úpravách v KQL se otevře nová karta v rozšířeném režimu s odpovídajícím dotazem KQL:
Ve výše uvedeném příkladu je vybraným zobrazením Vše, a proto vidíte, že dotaz KQL prohledává všechny tabulky, které mají vlastnosti souboru name a SHA256, a ve všech příslušných sloupcích, které tyto vlastnosti pokrývají.
Pokud změníte zobrazení na E-maily & spolupráci, dotaz se zúží na:
Viz také
- Pokročilé kvóty proaktivního vyhledávání a parametry použití
- Rozšíření rozšířeného pokrytí proaktivního vyhledávání pomocí správných nastavení
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.