Hanki asiantuntijakoulutusta kehittyneestä metsästyksestä
Koskee seuraavia:
- Microsoft Defender XDR
Paranna tietämystäsi kehittyneestä metsästyksestä nopeasti seuraamalla vastustajaa, verkkolähetyssarjaa uusille turvallisuusanalyytikoille ja kokeneille uhkien metsästäjille. Sarja opastaa sinua perustietojen läpi omien kehittyneiden kyselyiden luomisessa. Aloita ensimmäisestä videosta, joka sisältää perusasiat, tai siirry kehittyneempiin videoihin, jotka sopivat käyttökokemukseesi.
| Title | Kuvaus | Katso | Kyselyt |
|---|---|---|---|
| Jakso 1: KQL:n perusteet | Tämä jakso kattaa kehittyneen metsästyksen perusteet Microsoft Defender XDR. Lue lisätietoja saatavilla olevista kehittyneen metsästyksen tiedoista ja KQL-perussyntaksista ja -operaattoreista. | YouTube (54:14) | Tekstitiedosto |
| Jakso 2: Liitokset | Jatka kehittyneen metsästyksen tietojen oppimista ja taulukoiden yhdistämistä. Lue lisää inner-, outer-, unique- ja semi -liitoksista sekä tutustu Kusto-oletusliitoksen innerunique vivahteisiin. |
YouTube (53:33) | Tekstitiedosto |
| Jakso 3: Tietojen yhteenveto, pivotointi ja visualisointi | Nyt kun olet oppinut suodattamaan, muokkaamaan ja liittämään tietoja, on aika tehdä yhteenveto, kvantifioida, pivotoida ja visualisoida. Tässä jaksossa käsitellään operaattoria summarize ja erilaisia laskutoimituksia sekä esitellään lisätaulukoita rakenteessa. Opit myös muuttamaan tietojoukot kaavioiksi, joiden avulla voit poimia merkityksellisiä tietoja. |
YouTube (48:52) | Tekstitiedosto |
| Jakso 4: Etsitään! KQL:n käyttäminen tapausten seurantaan | Tässä jaksossa opit seuraamaan joitakin hyökkääjien toimia. Käytämme parannettua ymmärrystämme Kustosta ja kehittyneestä metsästyksestä hyökkäyksen seuraamiseksi. Opi alalla käytetyt todelliset vinkit, mukaan lukien kyberturvallisuuden abc:t ja niiden käyttö tapausten käsittelyyn. | YouTube (59:36) | Tekstitiedosto |
Hanki asiantuntijakoulutusta L33TSP3AK avulla: Kehittynyt metsästys Microsoft Defender XDR, webcast-sarja analyytikoille, jotka haluavat laajentaa teknistä tietämystään ja käytännön taitojaan turvallisuustutkintaan kehittyneen metsästyksen avulla Microsoft Defender XDR.
| Title | Kuvaus | Katso | Kyselyt |
|---|---|---|---|
| Jakso 1 | Tässä jaksossa opit erilaisia parhaita käytäntöjä kehittyneiden metsästyskyselyiden suorittamisessa. Aiheet ovat muun muassa seuraavat: kyselyiden optimointi, edistyneen metsästyksen käyttö kiristyshaittaohjelmissa, JSON:n käsitteleminen dynaamisena tyyppinä ja työskentely ulkoisten tieto-operaattoreiden kanssa. | YouTube (56:34) | Tekstitiedosto |
| Jakso 2 | Tässä jaksossa opit tutkimaan epäilyttäviä tai epätavallisia kirjautumissijainteja ja tietojen suodatusta ja vastaamaan niihin Saapuneet-kansion edelleenlähetyssääntöjen avulla. Sebastien Molendijk, Cloud Security CxE:n vanhempi ohjelmapäällikkö, jakaa, miten kehittynyttä metsästystä käytetään monivaiheisten tapausten tutkimiseen Microsoft Defender for Cloud Apps tiedoilla. | YouTube (57:07) | Tekstitiedosto |
| Jakso 3 | Tässä jaksossa käsittelemme kehittyneen metsästyksen uusimmat parannukset, ulkoisen tietolähteen tuomisen kyselyyn ja sen, miten voit osioinnin avulla segmentoida suuria kyselytuloksia pienempiin tulosjoukkoihin, jotta ohjelmointirajapintarajoja ei saavuteta. | YouTube (40:59) | Tekstitiedosto |
CSL-tiedoston käyttäminen
Ennen kuin aloitat jakson, käytä vastaavaa tekstitiedostoa GitHubissa ja kopioi sen sisältö kehittyneeseen metsästyskyselyeditoriin. Kun katsot jaksoa, voit käyttää kopioitu sisältöjä puhujan seuraamiseen ja kyselyjen suorittamiseen.
Seuraava katkelma tekstitiedostosta, joka sisältää kyselyt, näyttää kattavan ohjejoukon, joka on merkitty kommenteiksi merkinnällä //.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Sama tekstitiedosto sisältää kyselyt ennen ja jälkeen kommenttien alla esitetyllä tavalla. Jos haluat suorittaa tietyn kyselyn , jossa on useita kyselyitä editorissa, siirrä kohdistin kyseiseen kyselyyn ja valitse Suorita kysely.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Muut resurssit
| Title | Kuvaus | Katso |
|---|---|---|
| Taulukoiden yhdistäminen KQL:ssä | Opi yhdistämällä taulukoita merkityksellisten tulosten luomiseksi. | YouTube (4:17) |
| Taulukoiden optimointi KQL:ssä | Lue, miten voit välttää aikakatkaisut monimutkaisia kyselyitä suoritettaessa optimoimalla kyselyitä. | YouTube (5:38) |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kehittynyt metsästyskyselykieli
- Kyselytulosten käsitteleminen
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.