Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
I když můžete vytvářet pokročilé dotazy proaktivního vyhledávání , abyste vrátili přesné informace, můžete také pracovat s výsledky dotazů a získat další přehled a prozkoumat konkrétní aktivity a indikátory. S výsledky dotazu můžete provést následující akce:
- Zobrazení výsledků jako tabulky nebo grafu
- Export tabulek a grafů
- Přejít k podrobnostem o podrobných informacích o entitách
- Úprava dotazů přímo z výsledků
- Zobrazení časové osy událostí
Zobrazení výsledků dotazu jako tabulky nebo grafu
Rozšířené proaktivní vyhledávání ve výchozím nastavení zobrazuje výsledky dotazu jako tabulková data. Můžete také zobrazit stejná data jako graf. Rozšířené proaktivní vyhledávání podporuje následující zobrazení:
| Typ zobrazení | Popis |
|---|---|
| Stůl | Zobrazí výsledky dotazu v tabulkovém formátu. |
| Sloupcový graf | Vykreslí řadu jedinečných položek na ose x jako svislé pruhy, jejichž výška představuje číselné hodnoty z jiného pole. |
| Koláčový graf | Vykreslí výseče oddílů představující jedinečné položky. Velikost každého výsečového grafu představuje číselné hodnoty z jiného pole. |
| Spojnicový graf | Vykreslí číselné hodnoty pro řadu jedinečných položek a spojí vynesené hodnoty. |
| Bodový graf | Vykreslí číselné hodnoty pro řadu jedinečných položek. |
| Plošný graf | Vykreslí číselné hodnoty pro řadu jedinečných položek a vyplní oddíly pod vykreslenými hodnotami. |
| Skládaný plošný graf | Vykreslí číselné hodnoty pro řadu jedinečných položek a naskládá vyplněné oddíly pod vykreslované hodnoty. |
| Časový graf | Vykreslí hodnoty podle počtu na lineárním časovém stupnici. |
Důležité
Microsoft Defender portálu zobrazí až 100 000 výsledků dotazu rozšířeného proaktivního vyhledávání. Další informace o pokročilých kvótách proaktivního vyhledávání a parametrech využití
Vytváření dotazů pro efektivní grafy
Při vykreslování grafů rozšířené proaktivní vyhledávání automaticky identifikuje sloupce, které vás zajímají, a číselné hodnoty, které se mají agregovat. Pokud chcete získat smysluplné grafy, sestavte dotazy tak, aby vracely konkrétní hodnoty, které chcete vizualizovat. Tady je několik ukázkových dotazů a výsledných grafů.
Výstrahy podle závažnosti
Pomocí operátoru summarize získáte číselný počet hodnot, které chcete zobrazit v grafu. Následující dotaz používá summarize operátor k získání počtu výstrah podle závažnosti.
AlertInfo
| summarize Total = count() by Severity
Při vykreslování výsledků zobrazí sloupcový graf každou hodnotu závažnosti jako samostatný sloupec:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Phishingové e-maily v deseti hlavních doménách odesílatelů
Pokud pracujete se seznamem hodnot, které nejsou konečné, můžete pomocí operátoru Top vypsat pouze hodnoty s většinou instancí. Pokud například chcete získat prvních 10 domén odesílatelů s nejvíce phishingovými e-maily, použijte následující dotaz:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Zobrazení výsečového grafu slouží k efektivnímu zobrazení distribuce mezi hlavními doménami:
Aktivity souborů v průběhu času
Pomocí operátoru summarizebin() s funkcí můžete zkontrolovat události týkající se konkrétního indikátoru v průběhu času. Následující dotaz spočítá události týkající se souboru invoice.doc v 30minutových intervalech, aby se zobrazily špičky v aktivitě související s tímto souborem:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
Níže uvedený spojnicový graf jasně zvýrazňuje časová období s větší aktivitou zahrnující invoice.doc:
Export tabulek a grafů
Po spuštění dotazu vyberte Exportovat a uložte výsledky do místního souboru. Zvolené zobrazení určuje, jak se výsledky exportují:
- Zobrazení tabulky – výsledky dotazu se exportují v tabulkové podobě jako sešit Microsoft Excelu.
- Libovolný graf – výsledky dotazu se exportují jako obrázek vykresleného grafu ve formátu JPEG.
Filtrovat výsledky
Po spuštění dotazu vyberte Filtr a zúžíte výsledky.
Pokud chcete přidat filtr, vyberte data, pro která chcete filtrovat, zaškrtnutím jednoho nebo více políček. Pak vyberte Přidat.
Výběrem nově přidaného filtru můžete výsledky ještě zúžit na konkrétní data.
Otevře se rozevírací seznam s možnými filtry, které můžete dál používat. Zaškrtněte jedno nebo více políček a pak vyberte Použít.
Zkontrolujte část Filtry a ověřte, že jste přidali požadované filtry.
Přechod k podrobnostem z výsledků dotazu
Výsledky můžete prozkoumat také v souladu s následujícími funkcemi:
- Rozbalení výsledku výběrem šipky rozevíracího seznamu nalevo od každého výsledku
- Pokud je to možné, rozbalte podrobnosti o výsledcích ve formátech JSON a pole tak, že vyberete šipku rozevíracího seznamu nalevo od příslušných názvů sloupců a zajistíte tak lepší čitelnost.
- Otevření bočního podokna a zobrazení podrobností záznamu (souběžně s rozbalenými řádky)
Můžete také kliknout pravým tlačítkem na libovolnou výslednou hodnotu v řádku, abyste ji mohli použít k přidání dalších filtrů do existujícího dotazu nebo zkopírovat hodnotu pro účely dalšího šetření.
U polí JSON a pole pole můžete navíc kliknout pravým tlačítkem myši a aktualizovat existující dotaz tak, aby zahrnoval nebo vyloučil pole nebo aby se pole rozšířilo na nový sloupec.
Pokud chcete rychle zkontrolovat záznam ve výsledcích dotazu, vyberte odpovídající řádek a otevřete panel Kontrola záznamu . Panel obsahuje následující informace na základě vybraného záznamu:
- Prostředky – souhrnné zobrazení hlavních prostředků (poštovních schránek, zařízení a uživatelů) nalezených v záznamu, doplněné o dostupné informace, jako jsou rizika a úrovně expozice.
- Všechny podrobnosti – všechny hodnoty ze sloupců v záznamu
Pokud chcete zobrazit další informace o konkrétní entitě ve výsledcích dotazu, jako je počítač, soubor, uživatel, IP adresa nebo adresa URL, vyberte identifikátor entity a otevřete pro tuto entitu stránku s podrobným profilem.
Úprava dotazů z výsledků
Vyberte tři tečky napravo od libovolného sloupce na panelu Zkontrolovat záznam . Tyto možnosti můžete použít k:
- Explicitně vyhledejte vybranou hodnotu (
==) - Vyloučit vybranou hodnotu z dotazu (
!=) - Získejte pokročilejší operátory pro přidání hodnoty do dotazu, jako
containsjsou ,starts withaends with
Přidání položek do oblíbených položek
Často používaná schémata, funkce, dotazy a pravidla detekce můžete přidat do části Oblíbené na každé kartě na stránce rozšířeného vyhledávání, abyste k němu měli rychlý přístup.
Pokud například chcete přidat AlertInfo do oblíbených položek, přejděte na kartu Schéma , vyberte tři tečky napravo od tabulky a vyberte Přidat k oblíbeným položkám.
Zobrazí se oznámení s informací, že položka byla úspěšně přidána do oblíbených položek.
To samé můžete udělat s uloženými funkcemi, dotazy a vlastními detekcemi v příslušných oddílech Oblíbené přímo pod jednotlivými kartami (Funkce, Dotazy a Pravidla detekce).
Poznámka
Některé tabulky v tomto článku nemusí být dostupné na Microsoft Defender for Endpoint. Zapněte Microsoft Defender XDR pro vyhledávání hrozeb s využitím více zdrojů dat. Pokročilé pracovní postupy proaktivního vyhledávání můžete přesunout z Microsoft Defender for Endpoint do Microsoft Defender XDR pomocí kroků v tématu Migrace dotazů rozšířeného proaktivního vyhledávání z Microsoft Defender for Endpoint.
Automatické vykreslování časové osy
Ve výchozím nastavení se časová osa zobrazuje nad výsledky rozšířeného proaktivního vyhledávání, které zobrazují počty událostí v průběhu času. Časová osa se automaticky vykreslí na Timestamp základě sloupce nebo timeGenerated ve výsledcích dotazu. Při použití filtrů se automaticky aktualizuje a pomůže vám rychle identifikovat neobvyklé chování a trendy a zaměřit se na zajímavé výsledky.
V nastavení předvoleb grafu můžete vybrat, jestli se časová osa zobrazí ve výchozím nastavení.
Časová osa automaticky upraví rozlišení na základě rozsahu výsledků.
Filtrování výsledků časové osy
Výběrem libovolného bodu na časové ose vyfiltrujte výsledky i časovou osu podle konkrétního časového rozsahu. Časová osa také aktualizuje své měřítko tak, aby odpovídalo vybranému časovému období, takže když filtrujete podle určitého rozsahu, přiblíží se a zobrazí se distribuce událostí ve vysokém rozlišení.
Následující snímek obrazovky ukazuje výsledky dotazu, který vrací 1 000 e-mailových událostí. Časová osa je nefiltrovaná, takže zobrazí úplný rozsah výsledků s časovým razítkem pro každý den. Výběrem dne nebo rozsahu dnů vyfiltrujte výsledky pro dané časové období.
Rozdělení časové osy podle hodnot
Výsledky na časové ose můžete rozdělit podle libovolného sloupce, který má alespoň dvě, ale méně než 50 jedinečných hodnot.
Následující snímek obrazovky ukazuje výsledky dotazu, který vrací 1 000 e-mailových událostí. Časová osa je neseskupený, takže zobrazí všechny výsledky na jednom řádku.
Změna typu grafu
Typ grafu časové osy můžete změnit tak, že v rozevírací nabídce typu grafu vyberete jinou možnost. Mezi dostupné typy grafů patří:
- Spojnicový graf
- Sloupcový graf
- Koláčový graf
Podmínky vykreslování
Časová osa se zobrazí pouze v případě, že jsou splněny následující podmínky:
- Ve výsledcích je více než 40 událostí.
- Tam je
TimestampnebotimeGeneratedsloupec.
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
- Přehled vlastních zjišťování
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.