Del via

Gå hurtigt på jagt efter enheds- eller begivenhedsoplysninger med go hunt

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Med go hunt-handlingen kan du hurtigt undersøge hændelser og forskellige objekttyper ved hjælp af effektive forespørgselsbaserede avancerede jagtfunktioner . Denne handling kører automatisk en avanceret jagtforespørgsel for at finde relevante oplysninger om den valgte hændelse eller enhed.

Jagthandlingen er tilgængelig i forskellige afsnit af Microsoft Defender XDR. Denne handling er tilgængelig for at få vist, når hændelses- eller enhedsdetaljer vises. Du kan f.eks. bruge indstillingen Gå på jagt i følgende afsnit:

  • hændelsessiden kan du gennemse oplysninger om brugere, enheder og mange andre enheder, der er knyttet til en hændelse. Når du vælger et objekt, får du yderligere oplysninger og de forskellige handlinger, du kan foretage på objektet. I eksemplet nedenfor er der valgt en postkasse, der viser oplysninger om postkassen og muligheden for at søge efter flere oplysninger om postkassen.

    Siden Postkasser med indstillingen Gå på jagt på Microsoft Defender-portalen

  • På hændelsessiden kan du også få adgang til en liste over enheder under fanen Beviser . Hvis du vælger et af disse enheder, kan du hurtigt søge efter oplysninger om det pågældende objekt.

    Indstillingen Gå på jagt efter beviser på siden Hændelse i Microsoft Defender portal

  • Når du får vist tidslinjen for en enhed, kan du vælge en begivenhed på tidslinjen for at få vist yderligere oplysninger om den pågældende hændelse. Når en begivenhed er valgt, får du mulighed for at jage efter andre relevante begivenheder i avanceret jagt.

    Indstillingen Jagt efter relaterede hændelser på en hændelses side på fanen Tidslinjer på Microsoft Defender portalen

Hvis du vælger Gå på jagt eller Jagt efter relaterede hændelser , sendes der forskellige forespørgsler, afhængigt af om du har valgt et objekt eller en hændelse.

Forespørgsel om objektoplysninger

Du kan bruge Gå på jagt til at forespørge efter oplysninger om en bruger, enhed eller en hvilken som helst anden type enhed. Forespørgslen kontrollerer alle relevante skematabeller for alle hændelser, der involverer den pågældende enhed, for at returnere oplysninger. For at holde resultaterne håndterbare er forespørgslen:

  • begrænset til ca. samme tidsperiode som den tidligste aktivitet inden for de seneste 30 dage, der omfatter enheden
  • knyttet til hændelsen.

Her er et eksempel på søgeforespørgslen for en enhed:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Understøttede objekttyper

Du kan bruge indstillingen Gå på jagt efter at have valgt en af disse objekttyper:

  • Enheder
  • Mailklynger
  • E-mails
  • Filer
  • Grupper
  • IP-adresser
  • Postkasser
  • Brugere
  • Webadresser

Forespørgsel om hændelsesoplysninger

Når du bruger go hunt til at forespørge om oplysninger om en tidslinjehændelse, kontrollerer forespørgslen alle relevante skematabeller for andre hændelser omkring tidspunktet for den valgte hændelse. Følgende forespørgsel viser f.eks. hændelser i forskellige skematabeller, der opstod omkring den samme tidsperiode på den samme enhed:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Juster forespørgslen

Med lidt kendskab til forespørgselssproget kan du tilpasse forespørgslen til dine præferencer. Du kan f.eks. justere denne linje, som bestemmer størrelsen af tidsvinduet:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Ud over at ændre forespørgslen for at få mere relevante resultater kan du også:

Bemærk!

Nogle tabeller i denne artikel er muligvis ikke tilgængelige i Microsoft Defender for Endpoint. Slå Microsoft Defender XDR til for at jage efter trusler ved hjælp af flere datakilder. Du kan flytte dine avancerede arbejdsprocesser for jagt fra Microsoft Defender for Endpoint til Microsoft Defender XDR ved at følge trinnene i Overfør avancerede jagtforespørgsler fra Microsoft Defender for Endpoint.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.