Jaa

Luo metsästyskyselyitä ohjatun tilan avulla Microsoft Defender

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Ohjatussa tilassa kyselyn muodostimen avulla analyytikot voivat luoda merkityksellisiä metsästyskyselyitä tietämättä Kusto Query Languagea (KQL) tai tietorakennetta. Jokaisen käyttökokemuksen tason analyytikot voivat käyttää kyselyn muodostinta suodattaakseen viimeisten 30 päivän tiedot uhkien etsimiseksi, tapausten tutkinnan laajentamiseksi, tietojen analysoimiseksi uhkatiedoille tai keskittyäkseen tiettyihin uhka-alueisiin.

Analyytikko voi valita, mitä tietojoukkoa tarkastellaan ja mitä suodattimia ja ehtoja käytetään rajatakseen tiedot siihen, mitä he tarvitsevat.

Voit katsoa tämän videon, jossa on yleiskatsaus ohjatusta metsästyksestä:

Avaa kysely muodostimessa

Valitse Lisämetsästys-sivullaLuo uusi , niin uusi kyselyvälilehti avautuu ja valitse Kysely muodostimessa.

Näyttökuva ohjatun tilan kyselyn muodostimesta

Tämä tuo sinut ohjattuun tilaan, jossa voit sitten muodostaa kyselyn valitsemalla eri osia avattavien valikoiden avulla.

Määritä tietotoimialue, jossa etsitään

Voit hallita metsästyksen laajuutta valitsemalla, minkä toimialueen kysely kattaa:

Näyttökuva ohjatun tilan kyselyn muodostimen toimialueiden avattavasta valikosta

Jos valitset Kaikki , se sisältää tietoja kaikista toimialueista, joihin sinulla on tällä hetkellä käyttöoikeus. Tiettyyn toimialueeseen rajaaminen sallii vain kyseiseen toimialueeseen liittyvät suodattimet.

Voit valita esimerkiksi:

  • Kaikki toimialueet: voit tarkastella kyselyn kaikkia käytettävissä olevia tietoja.
  • Päätepisteet: voit tarkastella päätepistetietoja Microsoft Defender for Endpoint mukaisesti.
  • Sähköposti ja yhteistyö : voit tarkastella sähköposti- ja yhteistyösovellusten tietoja, kuten SharePointia, OneDrivea ja muita. Threat Exploreriin perehtyneet käyttäjät voivat löytää samat tiedot täältä.
  • Sovellukset ja käyttäjätiedot: jos haluat tarkastella sovellus- ja käyttäjätietotietoja Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity mukaisesti, toimintalokiin perehtyneet käyttäjät löytävät samat tiedot täältä.
  • Pilviinfrastruktuuri : voit tarkastella pilvipalveluinfrastruktuurin tietoja Microsoft Defender Pilvipalvelulle tarjoamien tietojen mukaisesti.
  • Altistumisen hallinta : voit tarkastella altistumisen hallintatietoja Microsoft-suojauksen altistumishallinta tarjoamien tietojen mukaisesti.

Perussuodattimien käyttäminen

Ohjattu metsästys sisältää oletusarvoisesti muutamia perussuodattimia, joiden avulla pääset alkuun nopeasti.

Näyttökuva ohjatun tilan kyselyn muodostimen perussuodatinjoukosta

Kun valitset yhden tietolähteen, esimerkiksi päätepisteet, kyselyn muodostin näyttää vain soveltuvat suodatinryhmät. Voit sitten valita suodattimen, jota haluat rajata, valitsemalla kyseisen suodatinryhmän, esimerkiksi EventType, ja valitsemalla haluamasi suodattimen.

Näyttökuva ohjatun tilan kyselyn muodostimen päätepisteen perussuodatinjoukosta

Kun kysely on valmis, valitse sininen Suorita kysely -painike. Jos painike näkyy harmaana, kysely on täytettävä tai sitä on muokattava edelleen.

Huomautus

Perussuodatinnäkymä käyttää vain AND-operaattoria , mikä tarkoittaa, että kyselyn suorittaminen luo tulokset, joille kaikki määritetyt suodattimet ovat tosia.

Mallikyselyiden lataaminen

Toinen nopea tapa tutustua ohjattuun metsästykseen on ladata mallikyselyt avattavan Lataa mallikyselyt -valikon avulla. Näyttökuva ohjatun tilan kyselyn muodostimen latausmallikyselyiden luettelosta

Huomautus

Mallikyselyn valitseminen ohittaa aiemmin luodun kyselyn.

Kun mallikysely on ladattu, valitse Suorita kysely.

Näyttökuva ohjatun tilan kyselyn muodostimen ladatusta kyselystä

Jos olet aiemmin valinnut toimialueen, käytettävissä olevien esimerkkikyselyiden luettelo muuttuu vastaavasti.

Näyttökuva ohjatun tilan kyselyn muodostimen rajoitetusta luettelosta

Jos haluat palauttaa mallikyselyiden täydellisen luettelon, valitse Kaikki toimialueet ja avaa sitten Lataa mallikyselyt uudelleen.

Jos ladattu mallikysely käyttää perussuodatinjoukon ulkopuolisia suodattimia, vaihtopainike näkyy harmaana. Voit palata perussuodatinjoukkoon valitsemalla Tyhjennä kaikki ja valitsemalla sitten Kaikki suodattimet.

Käytä lisää suodattimia

Jos haluat nähdä lisää suodatinryhmiä ja ehtoja, valitse Vaihtopainike, niin näet lisää suodattimia ja ehtoja.

Näyttökuva ohjatun tilan kyselyn muodostimesta, jossa lisää suodattimia on käytössä

Kun Kaikki suodattimet - vaihtopainike on aktiivinen, voit nyt käyttää kaikkia suodattimia ja ehtoja ohjatussa tilassa.

Näyttökuva ohjatun tilan kyselyn muodostimesta, jossa kaikki suodattimet ovat aktiivisia

Luo ehdot

Jos haluat määrittää kyselyssä käytettävän tietojoukon, valitse Valitse suodatin. Tutustu erilaisiin suodatinosioihin ja etsi, mitä käytettävissäsi on.

Näyttökuva, jossa näkyvät käytettävissä olevat eri suodattimet

Etsi suodatin kirjoittamalla osan otsikot luettelon yläosassa olevaan hakuruutuun. Tietoihin päättyvät osiot sisältävät suodattimia, jotka antavat tietoja eri osista, joita voit tarkastella, ja entiteettitilojen suodattimia. Tapahtumiin päättyvät osat sisältävät suodattimia, joiden avulla voit etsiä mitä tahansa valvottua tapahtumaa entiteetistä. Voit esimerkiksi etsiä tiettyjen laitteiden toimintoja käyttämällä Laitetapahtumat-osion suodattimia.

Huomautus

Sellaisen suodattimen valitseminen, joka ei ole perussuodatinluettelossa, poistaa aktivoinnin tai muuttaa sen harmaaksi, jotta voit palata perussuodatinnäkymään. Jos haluat nollata kyselyn tai poistaa olemassa olevat suodattimet nykyisessä kyselyssä, valitse Tyhjennä kaikki. Tämä myös aktivoi uudelleen perussuodatinluettelon.

Määritä seuraavaksi sopiva ehto tietojen suodattamiseksi edelleen valitsemalla ne toisesta avattavasta valikosta ja antamalla tarvittaessa merkinnät kolmanteen avattavaan valikkoon:

Näyttökuva, jossa näkyvät käytettävissä olevat ehdot

Voit lisätä kyselyyn lisää ehtoja käyttämällä AND- ja OR-ehtoja . JA palauttaa tulokset, jotka täyttävät kaikki kyselyn ehdot, kun taas OR palauttaa tulokset, jotka täyttävät minkä tahansa kyselyn ehdoista.

Näyttökuva, jossa näkyvät AND OR -operaattorit

Kyselyn hienosäätämisen avulla voit seuloa automaattisesti laajoja tietueita luodaksesi luettelon tuloksista, jotka on jo kohdistettu erityiseen uhkien metsästystarpeeesi.

Lisätietoja tuetuista tietotyypeistä ja muista ohjatun tilan ominaisuuksista, joiden avulla voit hienosäätää kyselyä, on artikkelissa Kyselyn hienosäätäminen ohjatussa tilassa.

Kokeile kyselyn esimerkkien vaiheittaisia ohjeita

Toinen tapa tutustua ohjattuun metsästykseen on ladata mallikyselyt, jotka on luotu valmiiksi ohjatussa tilassa.

Olemme toimittaneet metsästyssivun Aloittaminen-osiossa kolme ohjattua kyselyesimerkkiä, jotka voit ladata. Kyselyesimerkit sisältävät yleisimpiä suodattimia ja syötteitä, joita yleensä tarvitset metsästyksessä. Kaikkien kolmen esimerkkikyselyn lataaminen avaa ohjatun esittelyn siitä, miten voit luoda merkinnän ohjatun tilan avulla.

Näyttökuva ohjatun tilan kyselyn muodostimesta, joka käyttää kyselyn vaiheittaisia vaiheittaisia ohjeita

Luo kysely noudattamalla sinisten opetuskuplien ohjeita. Valitse Suorita kysely.

Kokeile kyselyitä

Onnistuneiden yhteyksien etsiminen tiettyyn IP-kohteeseen

Jos haluat etsiä onnistunutta verkkoviestintää tiettyyn IP-osoitteeseen, ala kirjoittaa "ip" saadaksesi ehdotettuja suodattimia:

Näyttökuva ohjatun tilan kyselyn muodostimen metsästyksestä onnistuneiden yhteyksien etsimiseksi tiettyyn IP-ensimmäiseen suodattimeen

Jos haluat etsiä tapahtumia, joihin liittyy tietty IP-osoite, jossa IP-osoite on tietoliikenteen kohde, valitse DestinationIPAddress IP-osoitetapahtumat-osasta. Valitse sitten yhtä suuri kuin - operaattori. Kirjoita IP-osoite kolmanteen avattavaan valikkoon ja paina Enter:

Näyttökuva ohjatun tilan kyselyn muodostimen metsästyksestä onnistuneiden yhteyksien etsimiseksi tiettyyn IP-osoite

Jos haluat lisätä toisen ehdon, joka etsii onnistuneita verkkoviestintätapahtumia, hae tietyn tapahtumatyypin suodatin:

Näyttökuva ohjatun tilan kyselyn muodostimen metsästyksestä onnistuneiden yhteyksien etsimiseksi tiettyyn IP-kohteeseen, toiseen ehtoon

EventType-suodatin etsii kirjatut eri tapahtumatyypit. Se vastaa ActionType-saraketta , joka on useimmissa kehittyneen metsästyksen taulukoissa. Valitse se, jos haluat valita yhden tai useamman tapahtumatyypin, jonka mukaan suodatetaan. Jos haluat etsiä onnistuneita verkkoviestintätapahtumia, laajenna DeviceNetworkEvents-osio ja valitse ConnectionSuccesssitten :

Näyttökuva ohjatun tilan kyselyn muodostimen metsästyksestä onnistuneiden yhteyksien etsimiseksi tiettyyn IP-kolmanteen ehtoon

Valitse lopuksi Suorita kysely , jos haluat etsiä kaikki onnistuneet verkkoviestinnät 52.168.117.170 IP-osoitteeseen:

Näyttökuva ohjatun tilan kyselyn muodostimen metsästyksestä onnistuneiden yhteyksien etsimiseksi tiettyyn IP-tulosnäkymään

Etsi erittäin luotettavuuskalastelu- tai roskapostisähköposteja, jotka toimitetaan Saapuneet-kansioon

Jos haluat etsiä kaikkia erittäin luotettavaa tietojenkalastelu- ja roskapostiviestiä, jotka toimitettiin Saapuneet-kansioon toimitushetkellä, valitse ensin ConfidenceLevel Kohdasta Sähköpostitapahtumat, valitse Yhtä suuri kuin ja valitse Suuri sekä Phish- että Roskaposti-kohdasta ehdotetusta suljetusta luettelosta, joka tukee monivalintaa:

Näyttökuva ohjatun tilan kyselyn muodostimesta, joka metsästää erittäin luotettavaa tietojenkalastelua tai roskapostia Saapuneet-kansioon, ensimmäinen ehto

Lisää sitten toinen ehto, tällä kertaa määrittämällä kansio tai DeliveryLocation, Saapuneet/kansio.

Näyttökuva ohjatun tilan kyselyn muodostimesta, joka metsästää erittäin luotettavaa tietojenkalastelua tai roskapostia Saapuneet-kansioon, toinen ehto

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.