Erhalten Sie Expertenschulungen zur erweiterten Jagd
Gilt für:
- Microsoft Defender XDR
Erweitern Sie Ihr Wissen über die erweiterte Suche schnell mit Tracking the Angreifer, einer Webcastserie für neue Sicherheitsanalysten und erfahrene Bedrohungsjäger. Die Reihe führt Sie durch die Grundlagen bis hin zum Erstellen eigener anspruchsvoller Abfragen. Beginnen Sie mit dem ersten Video zu Grundlagen, oder wechseln Sie zu komplexeren Videos, die Ihrem Erfahrungsniveau entsprechen.
| Titel | Beschreibung | Ansehen | Queries |
|---|---|---|---|
| Folge 1: KQL-Grundlagen | In dieser Episode werden die Grundlagen der erweiterten Suche in Microsoft Defender XDR behandelt. Erfahren Sie mehr über verfügbare erweiterte Huntingdaten und grundlegende KQL-Syntax und Operatoren. | YouTube (54:14) | Textdatei |
| Episode 2: Joins | Erfahren Sie mehr über Daten in der erweiterten Suche und darüber, wie Sie Tabellen miteinander verknüpfen. Erfahren Sie mehr über inner, outer, uniqueund semi Joins, und verstehen Sie die Nuancen der Standardmäßigen Kusto-Verknüpfung innerunique . |
YouTube (53:33) | Textdatei |
| Episode 3: Zusammenfassen, Pivotieren und Visualisieren von Daten | Nachdem Sie nun gelernt haben, Daten zu filtern, zu bearbeiten und zusammenzufassen, ist es an der Zeit, zusammenzufassen, zu quantifizieren, zu pivotieren und zu visualisieren. In dieser Episode werden der summarize Operator und verschiedene Berechnungen erläutert, während zusätzliche Tabellen im Schema eingeführt werden. Außerdem erfahren Sie, wie Sie Datasets in Diagramme umwandeln, mit denen Sie Erkenntnisse gewinnen können. |
YouTube (48:52) | Textdatei |
| Folge 4: Lass uns jagen! Anwenden von KQL auf die Incidentnachverfolgung | In dieser Episode erfahren Sie, wie Sie einige Aktivitäten von Angreifern nachverfolgen. Wir nutzen unser verbessertes Verständnis von Kusto und der erweiterten Jagd, um einen Angriff nachzuverfolgen. Lernen Sie die tatsächlichen Tricks kennen, die vor Ort verwendet werden, einschließlich der ABCs der Cybersicherheit und wie Sie sie auf die Reaktion auf Vorfälle anwenden können. | YouTube (59:36) | Textdatei |
Erhalten Sie weitere Expertenschulungen mit L33TSP3AK: Advanced Hunting in Microsoft Defender XDR, einer Webcastserie für Analysten, die ihr technisches Wissen und ihre praktischen Fähigkeiten bei der Durchführung von Sicherheitsuntersuchungen mithilfe der erweiterten Suche in Microsoft Defender XDR erweitern möchten.
| Titel | Beschreibung | Ansehen | Queries |
|---|---|---|---|
| Folge 1 | In dieser Episode lernen Sie verschiedene bewährte Methoden zum Ausführen erweiterter Huntingabfragen kennen. Zu den behandelten Themen gehören: Wie Sie Ihre Abfragen optimieren, die erweiterte Suche nach Ransomware verwenden, JSON als dynamischen Typ behandeln und mit externen Datenoperatoren arbeiten. | YouTube (56:34) | Textdatei |
| Folge 2 | In dieser Episode erfahren Sie, wie Sie verdächtige oder ungewöhnliche Anmeldeorte und Datenexfiltration über Posteingangsweiterleitungsregeln untersuchen und darauf reagieren. Sebastien Molendijk, Senior Program Manager für Cloud Security CxE, erläutert, wie sie mithilfe der erweiterten Suche mehrstufige Vorfälle mit Microsoft Defender for Cloud Apps Daten untersuchen können. | YouTube (57:07) | Textdatei |
| Folge 3 | In dieser Episode werden die neuesten Verbesserungen an der erweiterten Suche behandelt, wie Sie eine externe Datenquelle in Ihre Abfrage importieren und wie Sie mithilfe der Partitionierung große Abfrageergebnisse in kleinere Resultsets segmentieren, um das Erreichen von API-Grenzwerten zu vermeiden. | YouTube (40:59) | Textdatei |
Verwenden der CSL-Datei
Bevor Sie mit einer Folge beginnen, greifen Sie auf die entsprechende Textdatei auf GitHub zu, und kopieren Sie deren Inhalt in den erweiterten Suchabfrage-Editor. Wenn Sie eine Episode watch, können Sie den kopierten Inhalt verwenden, um dem Sprecher zu folgen und Abfragen auszuführen.
Der folgende Auszug aus einer Textdatei, die die Abfragen enthält, zeigt einen umfassenden Satz von Anleitungen, die mit //als Kommentare gekennzeichnet sind.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Dieselbe Textdatei enthält Abfragen vor und nach den Kommentaren, wie unten gezeigt. Wenn Sie eine bestimmte Abfrage mit mehreren Abfragen im Editor ausführen möchten, bewegen Sie den Cursor auf diese Abfrage, und wählen Sie Abfrage ausführen aus.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Sonstige Ressourcen
| Titel | Beschreibung | Ansehen |
|---|---|---|
| Verknüpfen von Tabellen in KQL | Lernen Sie die Leistungsfähigkeit des Verknüpfens von Tabellen kennen, um aussagekräftige Ergebnisse zu erstellen. | YouTube (4:17) |
| Optimieren von Tabellen in KQL | Erfahren Sie, wie Sie Timeouts beim Ausführen komplexer Abfragen vermeiden, indem Sie Ihre Abfragen optimieren. | YouTube (5:38) |
Verwandte Themen
- Übersicht über die erweiterte Suche
- Erlernen der Abfragesprache für die erweiterte Suche
- Arbeiten mit Abfrageergebnissen
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.