Jaa

Microsoft Defender for Office 365 kehittynyt metsästysesimerkki

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Haluatko aloittaa sähköpostiuhkien etsimisen kehittyneen metsästyksen avulla? Kokeile seuraavia vaiheita:

Microsoft Defender for Office 365 käyttöönotto-oppaassa kerrotaan, miten voit siirtyä suoraan mukaan ja saada määritykset käyntiin päivänä 1.

Ennalta määritetyn suojauskäytännön ja mukautettujen käytäntövalintojen mukaan nollatunnin automaattisen puhdistuksen (ZAP) asetukset ovat tärkeitä, jotta voidaan tietää, poistettiinko haitallinen viesti postilaatikosta toimituksen jälkeen.

Nopea siirtyminen Kusto-kyselykieleen ongelmien etsimiseksi on etuna näiden kahden suojauskeskuksen yhdistämisessä. Turvallisuusryhmät voivat seurata ZAP-epäonnistumisia suorittamalla seuraavat askeleensa Microsoft Defender-portaalissa Hunting>Advanced Huntingissahttps://security.microsoft.com>.

  1. Varmista Lisämetsästys-sivulla osoitteessahttps://security.microsoft.com/v2/advanced-hunting, että Uusi kysely -välilehti on valittuna.

  2. Kopioi seuraava kysely Kysely-ruutuun :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Valitse Suorita kysely.

Kehittynyt metsästyssivu (Metsästys-kohdassa), jossa kysely on valittu kyselypaneelin yläosaan, ja Kusto-kysely suoritetaan ZAP-toimintojen sieppaamiseksi viimeisten seitsemän päivän ajalta.

Tämän kyselyn tiedot näkyvät tulospaneelissa itse kyselyn alapuolella. Tulokset sisältävät tietoja, kuten DeviceName, AccountDisplayNameja ZapTime mukautettavassa tulosjoukossa. Myös tietueiden tulokset voidaan viedä. Jos haluat tallentaa kyselyn uudelleenkäyttöä varten, valitse Tallenna>nimellä , jos haluat lisätä kyselyn kysely-, jaettu- tai yhteisökyselyluetteloosi.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.