Beispiel für erweiterte Suche für Microsoft Defender for Office 365

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Möchten Sie mit der erweiterten Bedrohungssuche nach E-Mail-Bedrohungen beginnen? Führen Sie die folgenden Schritte aus:

Im Microsoft Defender for Office 365 Bereitstellungsleitfaden wird erläutert, wie Sie direkt losspringen und die Konfiguration an Tag 1 durchführen.

Je nach voreingestellter Sicherheitsrichtlinie und benutzerdefinierter Richtlinienauswahl sind ZAP-Einstellungen (Zero-Hour Auto Purge ) wichtig, um zu wissen, ob eine schädliche Nachricht nach der Übermittlung aus einem Postfach entfernt wurde.

Der schnelle Wechsel zur Kusto-Abfragesprache, um nach Problemen zu suchen, stellt einen Vorteil der Zusammenführung dieser beiden Sicherheitscenter dar. Sicherheitsteams können ZAP-Fehler überwachen, indem sie ihre nächsten Schritte im Microsoft Defender-Portal unter https://security.microsoft.com>Hunting>Advanced Hunting ausführen.

  1. Vergewissern Sie sich auf der Seite Erweiterte Suche unter https://security.microsoft.com/v2/advanced-hunting, dass die Registerkarte Neue Abfrage ausgewählt ist.

  2. Kopieren Sie die folgende Abfrage in das Feld Abfrage :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Wählen Sie Abfrage ausführen aus.

Die Seite Erweiterte Suche (unter Hunting) mit ausgewählter Abfrage oben im Abfragebereich und Ausführen einer Kusto-Abfrage zum Erfassen von ZAP-Aktionen in den letzten sieben Tagen.

Die Daten aus dieser Abfrage werden im Ergebnisbereich unterhalb der Abfrage selbst angezeigt. Die Ergebnisse enthalten Informationen wie DeviceName, AccountDisplayNameund ZapTime in einem anpassbaren Resultset. Die Ergebnisse können auch zur Dokumentation exportiert werden. Um die Abfrage zur Wiederverwendung zu speichern, wählen Sie Speichern>unter aus, um die Abfrage ihrer Liste mit Abfragen, freigegebenen Abfragen oder Communityabfragen hinzuzufügen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.