Jaa

Etsi nopeasti entiteettiä tai tapahtumatietoa go huntilla

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Go Hunt -toiminnolla voit nopeasti tutkia tapahtumia ja erilaisia entiteettityyppejä tehokkaiden kyselypohjaisten kehittyneiden metsästysominaisuuksien avulla. Tämä toiminto suorittaa automaattisesti kehittyneen metsästyskyselyn, joka etsii oleellisia tietoja valitusta tapahtumasta tai entiteetistä.

Go hunt -toiminta on saatavilla eri osissa Microsoft Defender XDR. Tämä toiminto on käytettävissä, kun tapahtuman tai entiteetin tiedot ovat näkyvissä. Voit käyttää esimerkiksi go hunt -vaihtoehtoa seuraavista osioista:

  • Tapaussivulla voit tarkastella tietoja käyttäjistä, laitteista ja monista muista tapahtumaan liittyvistä entiteeteistä. Kun valitset entiteetin, saat lisätietoja ja erilaisia toimintoja, joita voit tehdä kyseiselle entiteetille. Alla olevassa esimerkissä on valittuna postilaatikko, joka näyttää postilaatikon tiedot ja mahdollisuuden hakea lisätietoja postilaatikosta.

    Postilaatikot-sivu, jossa on Go hunt -vaihtoehto Microsoft Defender portaalissa

  • Tapaussivulla voit myös käyttää entiteettien luetteloa Todisteet-välilehdellä. Kun valitset jonkin näistä entiteeteistä, voit etsiä nopeasti tietoja kyseisestä entiteetistä.

    Todisteen Go hunt -vaihtoehto tapahtumasivulla Microsoft Defender portaalissa

  • Kun tarkastelet laitteen aikajanaa, voit valita tapahtuman aikajanalla nähdäksesi lisätietoja tapahtumasta. Kun tapahtuma on valittu, saat mahdollisuuden metsästää muita olennaisia tapahtumia kehittyneessä metsästyksessä.

    Aiheeseen liittyvien tapahtumien metsästys -vaihtoehto tapahtuman sivulla Microsoft Defender portaalin Aikajanat-välilehdellä

Go hunt - tai Hunt-vaihtoehdon valitseminen liittyvistä tapahtumista läpäisee eri kyselyt sen mukaan, oletko valinnut entiteetin vai tapahtuman.

Entiteetin tietojen kysely

Go Huntin avulla voit hakea tietoja käyttäjästä, laitteesta tai mistä tahansa muusta entiteettityypistä. kysely tarkistaa kaikki olennaiset rakennetaulukot kaikista kyseisen entiteetin tapahtumista tietojen palauttamiseksi. Jotta tuloksia voidaan hallita, kysely on seuraava:

  • joka on määritetty suunnilleen samalle ajanjaksolle kuin aikaisin toiminto viimeisen 30 päivän aikana, joka koskee entiteettiä
  • tapahtumaan liittyen.

Tässä on esimerkki laitteen go hunt -kyselystä:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Tuetut entiteettityypit

Voit käyttää go hunt -vaihtoehtoa, kun olet valinnut jonkin näistä entiteettityypeistä:

  • Laitteet
  • Sähköpostiklusterit
  • Sähköpostit
  • Tiedostot
  • Ryhmät
  • IP-osoitteet
  • Postilaatikot
  • Käyttäjät
  • Url

Tapahtumatietojen kysely

Kun siirry metsästämään -toimintoa aikajanatapahtuman tietojen hakemiseen, kysely tarkistaa kaikki asianmukaiset rakennetaulukot muista tapahtumista valitun tapahtuman aikaan. Esimerkiksi seuraavassa kyselyssä luetellaan eri rakennetaulukoiden tapahtumat, jotka tapahtuivat saman ajanjakson aikana samassa laitteessa:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Kyselyn säätäminen

Kyselykielen tietämyksen avulla voit muokata kyselyä haluamallasi tavalla. Voit esimerkiksi säätää tätä riviä, joka määrittää aikaikkunan koon:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Sen lisäksi, että voit muokata kyselyä saadaksesi osuvampia tuloksia, voit myös:

Huomautus

Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpoint. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpoint Microsoft Defender XDR noudattamalla kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpoint ohjeita.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.