Avanceret jagteksempel for Microsoft Defender for Office 365
Gælder for:
- Microsoft Defender XDR
Vil du i gang med at søge efter mailtrusler ved hjælp af avanceret jagt? Prøv følgende trin:
I Microsoft Defender for Office 365 udrulningsvejledning forklares det, hvordan du kommer direkte ind og får konfigurationen i gang på dag 1.
Afhængigt af din forudindstillede sikkerhedspolitik i forhold til brugerdefinerede politikvalg er indstillingerne for automatisk nul-tømning (ZAP) vigtige for at vide, om en skadelig meddelelse blev fjernet fra en postkasse efter levering.
Hurtig navigering til Kusto-forespørgselssprog for at søge efter problemer er en fordel ved at konvergere disse to sikkerhedscentre. Sikkerhedsteams kan overvåge ZAP-misser ved at tage deres næste skridt på Microsoft Defender portalen på https://security.microsoft.com>Hunting>Advanced Hunting.
Kontrollér, at fanen Ny forespørgsel er valgt på siden Avanceret jagt på https://security.microsoft.com/v2/advanced-hunting.
Kopiér følgende forespørgsel til forespørgselsfeltet :
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
Vælg Kør forespørgsel.
Dataene fra denne forespørgsel vises i panelet Resultater under selve forespørgslen. Resultaterne omfatter oplysninger som DeviceName
, AccountDisplayName
og ZapTime
i et resultatsæt, der kan tilpasses. Resultaterne kan også eksporteres for dine poster. Hvis du vil gemme forespørgslen til genbrug, skal du vælge Gem>som for at føje forespørgslen til listen over forespørgsler, delte forespørgsler eller communityforespørgsler.
Relaterede oplysninger
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.