Arbeiten mit den Ergebnissen erweiterter Huntingabfragen

  • Artikel

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender bewerten und pilotieren können.

Gilt für:

  • Microsoft 365 Defender

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Während Sie Ihre erweiterten Huntingabfragen erstellen können, um genaue Informationen zurückzugeben, können Sie auch mit den Abfrageergebnissen arbeiten, um weitere Einblicke zu erhalten und bestimmte Aktivitäten und Indikatoren zu untersuchen. Sie können die folgenden Aktionen für Ihre Abfrageergebnisse ausführen:

  • Anzeigen von Ergebnissen als Tabelle oder Diagramm
  • Exportieren von Tabellen und Diagrammen
  • Drilldown zu detaillierten Entitätsinformationen
  • Optimieren Ihrer Abfragen direkt aus den Ergebnissen

Anzeigen von Abfrageergebnissen als Tabelle oder Diagramm

Bei der erweiterten Suche werden Abfrageergebnisse standardmäßig als tabellarische Daten angezeigt. Sie können auch die gleichen Daten wie ein Diagramm anzeigen. Die erweiterte Suche unterstützt die folgenden Ansichten:

Ansichtstyp Beschreibung
Table Zeigt die Abfrageergebnisse im tabellarischen Format an.
Säulendiagramm Rendert eine Reihe eindeutiger Elemente auf der X-Achse als vertikale Balken, deren Höhe numerische Werte aus einem anderen Feld darstellt.
Kreisdiagramm Rendert abschnittale Kreise, die eindeutige Elemente darstellen. Die Größe jedes Kreises stellt numerische Werte aus einem anderen Feld dar.
Liniendiagramm Zeichnet numerische Werte für eine Reihe eindeutiger Elemente und verbindet die gezeichneten Werte.
Punktdiagramm Zeichnet numerische Werte für eine Reihe eindeutiger Elemente
Flächendiagramm Zeichnet numerische Werte für eine Reihe eindeutiger Elemente und füllt die Abschnitte unterhalb der gezeichneten Werte aus.
Gestapeltes Flächendiagramm Zeichnet numerische Werte für eine Reihe eindeutiger Elemente und stapelt die gefüllten Abschnitte unterhalb der gezeichneten Werte.
Zeitdiagramm Zeichnet Werte nach Anzahl auf einer linearen Zeitskala

Erstellen von Abfragen für effektive Diagramme

Beim Rendern von Diagrammen identifiziert die erweiterte Suche automatisch die relevanten Spalten und die numerischen Werte, die aggregiert werden sollen. Um aussagekräftige Diagramme zu erhalten, erstellen Sie Ihre Abfragen, um die spezifischen Werte zurückzugeben, die sie visualisiert sehen möchten. Im Folgenden finden Sie einige Beispielabfragen und die resultierenden Diagramme.

Warnungen nach Schweregrad

Verwenden Sie den summarize -Operator, um eine numerische Anzahl der Werte abzurufen, die Sie im Diagramm darstellen möchten. Die folgende Abfrage verwendet den summarize -Operator, um die Anzahl der Warnungen nach Schweregrad abzurufen.

AlertInfo
| summarize Total = count() by Severity

Beim Rendern der Ergebnisse zeigt ein Säulendiagramm jeden Schweregradwert als separate Spalte an:

Ein Beispiel für ein Diagramm, in dem die Ergebnisse der erweiterten Suche im Microsoft 365 Defender-PortalAbfrageergebnisse für Warnungen nach Schweregrad anzeigt, die als Säulendiagramm angezeigt werden

Phishing-E-Mails in den zehn wichtigsten Absenderdomänen

Wenn Sie es mit einer Liste von Werten zu tun haben, die nicht begrenzt ist, können Sie den Top Operator verwenden, um nur die Werte mit den meisten Instanzen zu diagrammen. Verwenden Sie beispielsweise die folgende Abfrage, um die 10 wichtigsten Absenderdomänen mit den meisten Phishing-E-Mails abzurufen:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Verwenden Sie die Kreisdiagrammansicht, um die Verteilung auf die wichtigsten Domänen effektiv anzuzeigen:

Das Kreisdiagramm mit den Ergebnissen der erweiterten Suche im Microsoft 365 Defender-PortalKreisdiagramm, das die Verteilung von Phishing-E-Mails auf die wichtigsten Absenderdomänen anzeigt

Dateiaktivitäten im Zeitverlauf

Mithilfe des summarize Operators mit der -Funktion können Sie im Laufe der bin() Zeit nach Ereignissen suchen, die einen bestimmten Indikator betreffen. Die folgende Abfrage zählt Ereignisse, die die Datei invoice.doc in 30-Minuten-Intervallen betreffen, um Spitzen bei der Aktivität im Zusammenhang mit dieser Datei anzuzeigen:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Das folgende Liniendiagramm hebt Zeiträume mit mehr Aktivität deutlich hervor, die sich auf folgendes bezieht invoice.doc:

Das Liniendiagramm, in dem die Ergebnisse der erweiterten Suche im Microsoft 365 Defender-PortalLiniendiagramm mit der Anzahl der Ereignisse angezeigt werden, die eine Datei im Laufe der Zeit betreffen

Exportieren von Tabellen und Diagrammen

Wählen Sie nach dem Ausführen einer Abfrage Exportieren aus, um die Ergebnisse in einer lokalen Datei zu speichern. Die ausgewählte Ansicht bestimmt, wie die Ergebnisse exportiert werden:

  • Tabellenansicht – Die Abfrageergebnisse werden in tabellarischer Form als Microsoft Excel-Arbeitsmappe exportiert.
  • Beliebiges Diagramm: Die Abfrageergebnisse werden als JPEG-Bild des gerenderten Diagramms exportiert.

Drilldown aus Abfrageergebnissen

Um einen Datensatz in ihren Abfrageergebnissen schnell zu überprüfen, wählen Sie die entsprechende Zeile aus, um den Bereich Datensatz überprüfen zu öffnen. Das Panel stellt die folgenden Informationen basierend auf dem ausgewählten Datensatz bereit:

  • Assets – Zusammengefasste Ansicht der wichtigsten Ressourcen (Postfächer, Geräte und Benutzer) im Datensatz, angereichert mit verfügbaren Informationen, z. B. Risiko- und Risikostufen
  • Alle Details – Alle Werte aus den Spalten im Datensatz

Der ausgewählte Datensatz mit Bereich zum Überprüfen des Datensatzes im Microsoft 365 Defender-Portal

Wenn Sie weitere Informationen zu einer bestimmten Entität in Ihren Abfrageergebnissen anzeigen möchten, z. B. einen Computer, eine Datei, einen Benutzer, eine IP-Adresse oder eine URL, wählen Sie den Entitätsbezeichner aus, um eine detaillierte Profilseite für diese Entität zu öffnen.

Optimieren von Abfragen aus den Ergebnissen

Wählen Sie die drei Punkte rechts neben einer beliebigen Spalte im Bereich Datensatz überprüfen aus. Sie können die folgenden Optionen für Folgendes verwenden:

  • Explizites Suchen nach dem ausgewählten Wert (==)
  • Ausschließen des ausgewählten Werts aus der Abfrage (!=)
  • Abrufen erweiterter Operatoren zum Hinzufügen des Werts zu Ihrer Abfrage, z contains. B. , starts withund ends with

Bereich

Hinweis

Einige Tabellen in diesem Artikel sind möglicherweise nicht auf Microsoft Defender for Endpoint verfügbar. Aktivieren Sie Microsoft 365 Defender, um mithilfe weiterer Datenquellen nach Bedrohungen zu suchen. Sie können Ihre workflows für die erweiterte Suche von Microsoft Defender for Endpoint auf Microsoft 365 Defender verschieben, indem Sie die Schritte unter Migrieren erweiterter Suchabfragen von Microsoft Defender for Endpoint ausführen.