Arbejd med avancerede resultater af jagtforespørgslen

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Selvom du kan konstruere dine avancerede jagtforespørgsler for at returnere præcise oplysninger, kan du også arbejde med forespørgselsresultaterne for at få yderligere indsigt og undersøge specifikke aktiviteter og indikatorer. Du kan foretage følgende handlinger på dine forespørgselsresultater:

  • Vis resultater som en tabel eller et diagram
  • Eksportér tabeller og diagrammer
  • Analysér ned til detaljerede enhedsoplysninger
  • Tilpas dine forespørgsler direkte fra resultaterne

Få vist forespørgselsresultater som en tabel eller et diagram

Som standard viser avanceret jagt forespørgselsresultater som tabeldata. Du kan også få vist de samme data som et diagram. Avanceret jagt understøtter følgende visninger:

Visningstype Beskrivelse
Tabel Viser forespørgselsresultaterne i tabelformat
Søjlediagram Gengiver en række entydige elementer på x-aksen som lodrette streger, hvis højde repræsenterer numeriske værdier fra et andet felt
Cirkeldiagram Gengiver sektionstærter, der repræsenterer entydige elementer. Størrelsen af hvert cirkeldiagram repræsenterer numeriske værdier fra et andet felt.
Kurvediagram Afbilder numeriske værdier for en række entydige elementer og forbinder de afbildede værdier
Punktdiagram Afbilder numeriske værdier for en række entydige elementer
Områdediagram Afbilder numeriske værdier for en række entydige elementer og udfylder sektionerne under de afbildede værdier
Stablet områdediagram Afbilder numeriske værdier for en række entydige elementer og stabler de udfyldte sektioner under de afbildede værdier
Tidsdiagram Afbilder værdier efter antal på en lineær tidsskala

Konstruer forespørgsler for effektive diagrammer

Når du gengiver diagrammer, identificerer avanceret jagt automatisk de kolonner, der er interessante, og de numeriske værdier, der skal aggregeres. Hvis du vil have meningsfulde diagrammer, skal du konstruere dine forespørgsler for at returnere de specifikke værdier, du vil have vist visualiseret. Her er nogle eksempelforespørgsler og de diagrammer, der oprettes.

Beskeder efter alvorsgrad

Brug operatoren summarize til at få et numerisk antal af de værdier, du vil oprette et diagram over. I forespørgslen nedenfor bruges operatoren summarize til at hente antallet af beskeder efter alvorsgrad.

AlertInfo
| summarize Total = count() by Severity

Når du gengiver resultaterne, viser et søjlediagram hver alvorsgradsværdi som en separat kolonne:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Et eksempel på et diagram, der viser avancerede jagtresultater på Microsoft Defender portalen

Phishing-mails på tværs af top ti afsenderdomæner

Hvis du arbejder med en liste over værdier, der ikke er endelige, kan du bruge operatoren Top til kun at oprette diagrammer over værdierne med de fleste forekomster. Hvis du f.eks. vil have de øverste 10 afsenderdomæner med de mest phishing-mails, skal du bruge forespørgslen nedenfor:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Brug cirkeldiagramvisningen til effektivt at vise distribution på tværs af de øverste domæner:

Det cirkeldiagram, der viser avancerede jagtresultater på Microsoft Defender-portalen

Filaktiviteter over tid

Ved hjælp af operatoren summarize med funktionen bin() kan du kontrollere, om der er hændelser, der involverer en bestemt indikator over tid. Forespørgslen nedenfor tæller hændelser, der involverer filen invoice.doc , med 30 minutters intervaller for at få vist stigninger i aktiviteter, der er relateret til den pågældende fil:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Kurvediagrammet nedenfor fremhæver tydeligt tidsperioder med mere aktivitet, der involverer invoice.doc:

Det kurvediagram, der viser avancerede jagtresultater på Microsoft Defender-portalen

Eksportér tabeller og diagrammer

Når du har kørt en forespørgsel, skal du vælge Eksportér for at gemme resultaterne i den lokale fil. Den valgte visning bestemmer, hvordan resultaterne eksporteres:

  • Tabelvisning – Forespørgselsresultaterne eksporteres i tabelformat som en Microsoft Excel-projektmappe
  • Et diagram – forespørgselsresultaterne eksporteres som et JPEG-billede af det gengivne diagram

Analysér ned fra forespørgselsresultater

Du kan også udforske resultaterne på linje med følgende funktioner:

  • Udvid et resultat ved at vælge rullepilen til venstre for hvert resultat
  • Hvis det er relevant, kan du udvide detaljer for resultater, der er i JSON- og matrixformater, ved at vælge rullepilen til venstre for relevante kolonnenavne for at få tilføjet læsbarhed
  • Åbn sideruden for at få vist oplysninger om en post (samtidig med udvidede rækker)

Skærmbillede af udvidelse af resultater til detailudledning

Du kan også højreklikke på en hvilken som helst resultatværdi i en række, så du kan bruge den til at føje flere filtre til den eksisterende forespørgsel eller kopiere værdien til brug i den videre undersøgelse.

Skærmbillede af indstillinger, når du højreklikker på en indstilling

Desuden kan du for JSON- og matrixfelter højreklikke og opdatere den eksisterende forespørgsel, så den inkluderer eller udelader feltet, eller hvis du vil udvide feltet til en ny kolonne.

Skærmbillede af indstillinger, når du højreklikker på en indstilling for JSON- og matrixfelter

Hvis du hurtigt vil undersøge en post i dine forespørgselsresultater, skal du vælge den tilsvarende række for at åbne panelet Undersøg post . Panelet indeholder følgende oplysninger baseret på den valgte post:

  • Assets – Opsummeret visning af hovedaktiverne (postkasser, enheder og brugere), der findes i posten, beriget med tilgængelige oplysninger, f.eks. risiko- og eksponeringsniveauer
  • Alle detaljer – alle værdierne fra kolonnerne i posten

Den valgte post med panel til undersøgelse af posten på Microsoft Defender-portalen

Hvis du vil have vist flere oplysninger om et bestemt objekt i dine forespørgselsresultater, f.eks. en computer, fil, bruger, IP-adresse eller URL-adresse, skal du vælge enheds-id'et for at åbne en detaljeret profilside for det pågældende objekt.

Tilpas dine forespørgsler ud fra resultaterne

Vælg de tre prikker til højre for en hvilken som helst kolonne i panelet Undersøg post . Du kan bruge indstillingerne til at:

  • Søg eksplicit efter den valgte værdi (==)
  • Udelad den valgte værdi fra forespørgslen (!=)
  • Få mere avancerede operatorer til at føje værdien til din forespørgsel, f.eks. contains, starts withog ends with

Ruden Handlingstype på siden Undersøg post på Microsoft Defender-portalen

Bemærk!

Nogle tabeller i denne artikel er muligvis ikke tilgængelige på Microsoft Defender for Endpoint. Slå Microsoft Defender XDR til for at jage efter trusler ved hjælp af flere datakilder. Du kan flytte dine avancerede arbejdsprocesser for jagt fra Microsoft Defender for Endpoint til Microsoft Defender XDR ved at følge trinnene i Overfør avancerede jagtforespørgsler fra Microsoft Defender for Endpoint.

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.