Share via

Edistyneiden metsästyskyselyjen tulosten käsitteleminen

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Vaikka voitkin luoda kehittyneitä metsästyskyselyitä tarkkojen tietojen palauttamiseksi, voit myös käsitellä kyselyn tuloksia saadaksesi lisätietoja ja tutkiaksesi tiettyjä toimintoja ja indikaattoreita. Voit suorittaa seuraavat toiminnot kyselyn tuloksille:

  • Näytä tulokset taulukkona tai kaaviona
  • Vie taulukot ja kaaviot
  • Poraudu alaspäin yksityiskohtaisiin entiteettitietoihin
  • Kyselyiden muokkaaminen suoraan tuloksista

Näytä kyselyn tulokset taulukkona tai kaaviona

Oletusarvoisesti kehittynyt metsästys näyttää kyselyn tulokset taulukkomuotoisena tietona. Voit myös näyttää samat tiedot kuin kaavio. Kehittynyt metsästys tukee seuraavia näkymiä:

Näkymän tyyppi Kuvaus
Taulukossa Näyttää kyselyn tulokset taulukkomuodossa
Pylväskaavio Hahmontaa x-akselilla olevien yksilöllisten kohteiden sarjan pystypalkkeiksi, joiden korkeudet edustavat toisen kentän numeerisia arvoja
Ympyräkaavio Hahmontaa yksilöllisiä kohteita edustavat osaympyräkaaviot. Kunkin ympyräkaavion koko edustaa toisen kentän numeerisia arvoja.
Viivakaavio Piirtää numeeriset arvot sarjalle yksilöllisiä kohteita ja yhdistää piirretyt arvot
Pistekaavio Piirtää numeeriset arvot sarjalle yksilöllisiä kohteita
Aluekaavio Piirtää numeeriset arvot yksilöllisten kohteiden sarjalle ja täyttää piirtoarvojen alapuolella olevat osat
Pinottu aluekaavio Piirtää numeeriset arvot sarjalle yksilöllisiä kohteita ja pinoaa täytetyt osat piirrettyjen arvojen alapuolelle
Aikakaavio Piirtää arvot määrän mukaan lineaariseen aika-asteikkoon

Kyselyjen muodostaminen tehokkaille kaavioille

Kaavioita hahmonnettaessa kehittynyt metsästys tunnistaa automaattisesti kiinnostavat sarakkeet ja koostettavat numeeriset arvot. Jos haluat saada merkityksellisiä kaavioita, muodosta kyselysi siten, että ne palauttavat tietyt arvot, jotka haluat nähdä visualisoituina. Seuraavassa on joitakin esimerkkikyselyitä ja tuloksena saatuja kaavioita.

Hälytykset vakavuuden mukaan

Operaattorin summarize avulla voit saada kaavioon haluamiesi arvojen numeerisen määrän. Alla olevassa kyselyssä käytetään operaattoria summarize ilmoitusten määrän saamiseksi vakavuuden mukaan.

AlertInfo
| summarize Total = count() by Severity

Tuloksia hahmonnettaessa pylväskaavio näyttää jokaisen vakavuusarvon erillisenä sarakkeena:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Esimerkki kaaviosta, joka näyttää kehittyneen metsästyksen tulokset Microsoft Defender-portaalissa

Tietojenkalastelusähköpostiviestit kymmenen parhaan lähettäjän toimialueilla

Jos käsittelet arvoluetteloa, joka ei ole rajallinen, voit -operaattorin Top avulla kaaviotaa vain arvot, joilla on eniten esiintymiä. Jos haluat esimerkiksi saada kymmenen parasta lähettäjätoimialuetta, joilla on eniten tietojenkalastelusähköposteja, käytä alla olevaa kyselyä:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Ympyräkaavionäkymän avulla voit tehokkaasti näyttää jakauman ylimmissä toimialueissa:

Ympyräkaavio, joka näyttää kehittyneet metsästystulokset Microsoft Defender-portaalissa

Tiedostotoiminnot ajan kuluessa

Kun käytät -operaattoria summarize funktion bin() kanssa, voit tarkistaa tapahtumat, joihin liittyy tietty ilmaisin ajan kuluessa. Alla oleva kysely laskee tiedoston invoice.doc tapahtumat 30 minuutin välein, jotta kyseiseen tiedostoon liittyvä toimintopiikki näkyy:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Alla olevassa viivakaaviossa korostetaan selvästi ajanjaksoja, joihin liittyy invoice.docenemmän toimintoja:

Viivakaavio, joka näyttää tarkennetun metsästyksen tulokset Microsoft Defender-portaalissa

Vie taulukot ja kaaviot

Kun olet suoritettu kyselyn, tallenna tulokset paikalliseen tiedostoon valitsemalla Vie . Valitsemasi näkymä määrittää, miten tulokset viedään:

  • Taulukkonäkymä – Kyselyn tulokset viedään taulukkomuodossa Microsoft Excel -työkirjana
  • Mikä tahansa kaavio – Kyselytulokset viedään hahmonnetun kaavion JPEG-kuvana

Poraudu alaspäin kyselyn tuloksista

Voit myös tarkastella tuloksia seuraavien ominaisuuksien mukaisesti:

  • Laajenna tulos valitsemalla kunkin tuloksen vasemmalla puolella oleva avattavan valikon nuoli
  • Laajenna tarvittaessa JSON- ja matriisimuodoissa olevien tulosten tiedot valitsemalla avattavan valikon nuoli soveltuvien sarakkeiden nimien vasemmalla puolella luettavuuden lisäämiseksi
  • Avaa sivuruutu, niin näet tietueen tiedot (samanaikaisesti laajennettujen rivien kanssa)

Näyttökuva alaspäin porautumisen tulosten laajentamisesta

Voit myös napsauttaa hiiren kakkospainikkeella mitä tahansa rivin tulosarvoa niin, että voit sen avulla lisätä suodattimia olemassa olevaan kyselyyn tai kopioida arvon jatkotutkimuksissa käytettäväksi.

Näyttökuva vaihtoehdoista, kun asetusta napsautetaan hiiren kakkospainikkeella

Lisäksi JSON- ja matriisikentissä voit napsauttaa hiiren kakkospainikkeella ja päivittää olemassa olevaa kyselyä niin, että se sisältää kentän tai jättää sen pois, tai laajentaa kentän uuteen sarakkeeseen.

Näyttökuva asetuksista napsautettaessa hiiren kakkospainikkeella vaihtoehtoa JSON- ja matriisikentille

Jos haluat tarkistaa nopeasti kyselyn tulosten tietueen, valitse vastaava rivi ja avaa Tarkista tietue -paneeli. Paneeli antaa seuraavat tiedot valitun tietueen perusteella:

  • Assets – Yhteenvetonäkymä tietueesta löytyneiden pääasiallisten resurssien (postilaatikot, laitteet ja käyttäjät) kanssa täydennettynä saatavilla tiedoilla, kuten riski- ja altistustasoilla
  • Kaikki tiedot – kaikki tietueen sarakkeiden arvot

Valittu tietue, jossa on paneeli Microsoft Defender portaalin tietueen tarkistamista varten

Jos haluat tarkastella lisätietoja tietystä entiteetistä kyselyn tuloksissa, kuten konetta, tiedostoa, käyttäjää, IP-osoitetta tai URL-osoitetta, valitse entiteetin tunnus avataksesi yksityiskohtaisen profiilisivun kyseiselle entiteetille.

Kyselyiden muokkaaminen tuloksista

Valitse kolme pisteestä minkä tahansa sarakkeen oikealla puolella Tarkista tietue -paneelissa. Voit käyttää asetuksia seuraavasti:

  • Etsi valittu arvo eksplisiittisesti (==)
  • Jätä valittu arvo pois kyselystä (!=)
  • Hae kehittyneempiä operaattoreita, joiden avulla voit lisätä arvon kyselyyn, kuten contains, starts withja ends with

Microsoft Defender-portaalin Tietueen tarkistaminen -sivun Toiminnon tyyppi -ruutu

Huomautus

Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpoint. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpoint Microsoft Defender XDR noudattamalla kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpoint ohjeita.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.