Kyselyn tarkentaminen ohjatussa tilassa
Koskee seuraavia:
- Microsoft Defender XDR
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Eri tietotyyppien käyttäminen
Kehittynyt metsästys ohjatussa tilassa tukee useita tietotyyppejä, joiden avulla voit hienosäätää kyselyäsi.
Numerot
Jouset
Kirjoita arvo vapaamuotoinen teksti -ruutuun ja lisää se painamalla Enter . Huomaa, että arvojen erotin on Enter.
Totuusarvo
Datetime
Suljettu luettelo – Sinun ei tarvitse muistaa tarkkaa arvoa, jota etsit. Voit helposti valita ehdotetun suljetun luettelon, joka tukee monivalintaa.
Aliryhmien käyttäminen
Voit luoda ehtoryhmiä valitsemalla Lisää aliryhmä:
Käytä älykästä automaattista täydennystä haussa
Älykästä automaattista täydennystä hakulaitteille ja käyttäjätileille tuetaan. Sinun ei tarvitse muistaa laitetunnusta, laitteen täydellistä nimeä tai käyttäjätilin nimeä. Voit aloittaa etsimäsi laitteen tai käyttäjän muutaman ensimmäisen merkin kirjoittamisen, jolloin näkyviin tulee ehdotettu luettelo, josta voit valita haluamasi:
Käyttää EventType
Voit jopa etsiä tiettyjä tapahtumatyyppejä, kuten kaikkia epäonnistuneita kirjautumisia, tiedostojen muokkaustapahtumia tai onnistuneita verkkoyhteyksiä, käyttämällä EventType-suodatinta missä tahansa osiossa, jossa se on käytettävissä.
Jos esimerkiksi haluat lisätä ehdon, joka hakee rekisteriarvon poistoja, voit siirtyä Rekisteritapahtumat-osioon ja valita EventType-vaihtoehdon.
Kun valitset Rekisteritapahtumat-kohdasta EventType, voit valita eri rekisteritapahtumista, mukaan lukien sen, jota metsästät, RegistryValueDeleted.
Huomautus
EventType vastaa ActionType tietorakennetta, johon kehittyneen tilan käyttäjät saattavat tuntea paremmin.
Testaa kyselyä pienemmällä mallikoolla
Jos käsittelet edelleen kyselyä ja haluat nähdä sen suorituskyvyn ja joitakin esimerkkituloksia nopeasti, säädä palautettavien tietueiden määrää valitsemalla pienempi joukko avattavasta Mallikoko-valikosta .
Mallin kooksi on oletusarvoisesti määritetty 10 000 tulosta. Tämä on metsästyksessä palautettavien tietueiden enimmäismäärä. Suosittelemme kuitenkin, että pienennät otoskoon 10:een tai 100:aan, jotta voit testata kyselysi nopeasti, sillä se kuluttaa vähemmän resursseja samalla, kun kehität kyselyä vielä.
Kun olet saanut kyselyn valmiiksi ja olet valmis käyttämään sitä kaikkien metsästystoimintaasi koskevien olennaisten tulosten saamiseksi, varmista, että näytteen kooksi on määritetty enintään 10 000.
Vaihda kehittyneeseen tilaan kyselyn luomisen jälkeen
Voit tarkastella valittujen ehtojen luomaa KQL-kyselyä napsauttamalla Muokkaa KQL :ssä. Muokkaaminen KQL:ssä avaa uuden välilehden laajennetussa tilassa vastaavalla KQL-kyselyllä:
Yllä olevassa esimerkissä valittu näkymä on Kaikki, joten näet, että KQL-kysely hakee kaikista taulukoista, joilla on tiedoston ominaisuudet nimellä ja SHA256, ja kaikista asianmukaisista sarakkeista, jotka kattavat nämä ominaisuudet.
Jos vaihdat näkymän arvoksi Sähköpostit & yhteiskäyttö, kyselyn rajat ovat seuraavat:
Tutustu myös seuraaviin ohjeartikkeleihin:
- Kehittyneet metsästyskiintiöt ja käyttöparametrit
- Laajennetun metsästyksen kattavuuden laajentaminen oikeilla asetuksilla
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.