Ejemplo de búsqueda avanzada para Microsoft Defender para Office 365

  • Artículo

Se aplica a:

  • Microsoft Defender XDR

¿Quiere empezar a buscar amenazas para correos electrónicos mediante la búsqueda avanzada de amenazas? Pruebe estos pasos:

En la guía de implementación de Microsoft Defender para Office 365 se explica cómo entrar directamente y obtener la configuración en curso el día 1.

En función de la directiva de seguridad preestablecida frente a las opciones de directivas personalizadas, la configuración de purga automática de hora cero (ZAP) es importante para saber si se quitó un mensaje malintencionado de un buzón después de la entrega.

Poder ir rápidamente al lenguaje de consulta Kusto para buscar problemas es una ventaja de unificar estos dos centros de seguridad. Los equipos de seguridad pueden supervisar los errores de ZAP si realizan sus pasos siguientes en el portal de Microsoft Defender en https://security.microsoft.com>Búsqueda>de búsqueda avanzada.

  1. En la página Búsqueda avanzada de https://security.microsoft.com/v2/advanced-hunting, compruebe que la pestaña Nueva consulta está seleccionada.

  2. Copie la siguiente consulta en el cuadro Consulta :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Seleccione Ejecutar consulta.

La página Búsqueda avanzada (en Búsqueda) con Consulta seleccionada en la parte superior del panel de consulta y ejecutando una consulta kusto para capturar acciones ZAP en los últimos siete días.

Los datos de esta consulta aparecen en el panel Resultados debajo de la propia consulta. Los resultados incluyen información como DeviceName, AccountDisplayNamey ZapTime en un conjunto de resultados personalizable. Los resultados también se pueden exportar para sus registros. Para guardar la consulta para su reutilización, seleccione Guardar>como para agregar la consulta a la lista de consultas, compartidas o de la comunidad.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.