Del via

Avanceret jagteksempel for Microsoft Defender for Office 365

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Vil du i gang med at søge efter mailtrusler ved hjælp af avanceret jagt? Prøv følgende trin:

I Microsoft Defender for Office 365 udrulningsvejledning forklares det, hvordan du kommer direkte ind og får konfigurationen i gang på dag 1.

Afhængigt af din forudindstillede sikkerhedspolitik i forhold til brugerdefinerede politikvalg er indstillingerne for automatisk nul-tømning (ZAP) vigtige for at vide, om en skadelig meddelelse blev fjernet fra en postkasse efter levering.

Hurtig navigering til Kusto-forespørgselssprog for at søge efter problemer er en fordel ved at konvergere disse to sikkerhedscentre. Sikkerhedsteams kan overvåge ZAP-misser ved at tage deres næste skridt på Microsoft Defender portalen på https://security.microsoft.com>Hunting>Advanced Hunting.

  1. Kontrollér, at fanen Ny forespørgsel er valgt på siden Avanceret jagthttps://security.microsoft.com/v2/advanced-hunting.

  2. Kopiér følgende forespørgsel til forespørgselsfeltet :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Vælg Kør forespørgsel.

    Siden Avanceret jagt (under Jagt) med Forespørgsel valgt øverst i forespørgselspanelet og kørsel af en Kusto-forespørgsel for at registrere ZAP-handlinger i løbet af de seneste syv dage.

    Dataene fra denne forespørgsel vises i panelet Resultater under selve forespørgslen. Resultaterne omfatter oplysninger som DeviceName, AccountDisplayNameog ZapTime i et resultatsæt, der kan tilpasses. Resultaterne kan også eksporteres for dine poster. Hvis du vil gemme forespørgslen til genbrug, skal du vælge Gem>som for at føje forespørgslen til listen over forespørgsler, delte forespørgsler eller communityforespørgsler.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.