Freigeben über


Erhalten Sie Expertenschulungen zur erweiterten Jagd

Gilt für:

  • Microsoft Defender XDR

Erweitern Sie Ihr Wissen über die erweiterte Suche schnell mit Tracking the Angreifer, einer Webcastserie für neue Sicherheitsanalysten und erfahrene Bedrohungsjäger. Die Reihe führt Sie durch die Grundlagen bis hin zum Erstellen eigener anspruchsvoller Abfragen. Beginnen Sie mit dem ersten Video zu Grundlagen, oder wechseln Sie zu komplexeren Videos, die Ihrem Erfahrungsniveau entsprechen.

Titel Beschreibung Ansehen Queries
Folge 1: KQL-Grundlagen In dieser Episode werden die Grundlagen der erweiterten Suche in Microsoft Defender XDR behandelt. Erfahren Sie mehr über verfügbare erweiterte Huntingdaten und grundlegende KQL-Syntax und Operatoren. YouTube (54:14) Textdatei
Episode 2: Joins Erfahren Sie mehr über Daten in der erweiterten Suche und darüber, wie Sie Tabellen miteinander verknüpfen. Erfahren Sie mehr über inner, outer, uniqueund semi Joins, und verstehen Sie die Nuancen der Standardmäßigen Kusto-Verknüpfung innerunique . YouTube (53:33) Textdatei
Episode 3: Zusammenfassen, Pivotieren und Visualisieren von Daten Nachdem Sie nun gelernt haben, Daten zu filtern, zu bearbeiten und zusammenzufassen, ist es an der Zeit, zusammenzufassen, zu quantifizieren, zu pivotieren und zu visualisieren. In dieser Episode werden der summarize Operator und verschiedene Berechnungen erläutert, während zusätzliche Tabellen im Schema eingeführt werden. Außerdem erfahren Sie, wie Sie Datasets in Diagramme umwandeln, mit denen Sie Erkenntnisse gewinnen können. YouTube (48:52) Textdatei
Folge 4: Lass uns jagen! Anwenden von KQL auf die Incidentnachverfolgung In dieser Episode erfahren Sie, wie Sie einige Aktivitäten von Angreifern nachverfolgen. Wir nutzen unser verbessertes Verständnis von Kusto und der erweiterten Jagd, um einen Angriff nachzuverfolgen. Lernen Sie die tatsächlichen Tricks kennen, die vor Ort verwendet werden, einschließlich der ABCs der Cybersicherheit und wie Sie sie auf die Reaktion auf Vorfälle anwenden können. YouTube (59:36) Textdatei

Erhalten Sie weitere Expertenschulungen mit L33TSP3AK: Advanced Hunting in Microsoft Defender XDR, einer Webcastserie für Analysten, die ihr technisches Wissen und ihre praktischen Fähigkeiten bei der Durchführung von Sicherheitsuntersuchungen mithilfe der erweiterten Suche in Microsoft Defender XDR erweitern möchten.

Titel Beschreibung Ansehen Queries
Folge 1 In dieser Episode lernen Sie verschiedene bewährte Methoden zum Ausführen erweiterter Huntingabfragen kennen. Zu den behandelten Themen gehören: Wie Sie Ihre Abfragen optimieren, die erweiterte Suche nach Ransomware verwenden, JSON als dynamischen Typ behandeln und mit externen Datenoperatoren arbeiten. YouTube (56:34) Textdatei
Folge 2 In dieser Episode erfahren Sie, wie Sie verdächtige oder ungewöhnliche Anmeldeorte und Datenexfiltration über Posteingangsweiterleitungsregeln untersuchen und darauf reagieren. Sebastien Molendijk, Senior Program Manager für Cloud Security CxE, erläutert, wie sie mithilfe der erweiterten Suche mehrstufige Vorfälle mit Microsoft Defender for Cloud Apps Daten untersuchen können. YouTube (57:07) Textdatei
Folge 3 In dieser Episode werden die neuesten Verbesserungen an der erweiterten Suche behandelt, wie Sie eine externe Datenquelle in Ihre Abfrage importieren und wie Sie mithilfe der Partitionierung große Abfrageergebnisse in kleinere Resultsets segmentieren, um das Erreichen von API-Grenzwerten zu vermeiden. YouTube (40:59) Textdatei

Verwenden der CSL-Datei

Bevor Sie mit einer Folge beginnen, greifen Sie auf die entsprechende Textdatei auf GitHub zu, und kopieren Sie deren Inhalt in den erweiterten Suchabfrage-Editor. Wenn Sie eine Episode watch, können Sie den kopierten Inhalt verwenden, um dem Sprecher zu folgen und Abfragen auszuführen.

Der folgende Auszug aus einer Textdatei, die die Abfragen enthält, zeigt einen umfassenden Satz von Anleitungen, die mit //als Kommentare gekennzeichnet sind.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

Dieselbe Textdatei enthält Abfragen vor und nach den Kommentaren, wie unten gezeigt. Wenn Sie eine bestimmte Abfrage mit mehreren Abfragen im Editor ausführen möchten, bewegen Sie den Cursor auf diese Abfrage, und wählen Sie Abfrage ausführen aus.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

Sonstige Ressourcen

Titel Beschreibung Ansehen
Verknüpfen von Tabellen in KQL Lernen Sie die Leistungsfähigkeit des Verknüpfens von Tabellen kennen, um aussagekräftige Ergebnisse zu erstellen. YouTube (4:17)
Optimieren von Tabellen in KQL Erfahren Sie, wie Sie Timeouts beim Ausführen komplexer Abfragen vermeiden, indem Sie Ihre Abfragen optimieren. YouTube (5:38)

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.