Jaa

Edistyneiden metsästyskyselyjen tulosten käsitteleminen

  • Koskee seuraavia:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Vaikka voitkin luoda kehittyneitä metsästyskyselyitä tarkkojen tietojen palauttamiseksi, voit myös käsitellä kyselyn tuloksia saadaksesi lisätietoja ja tutkiaksesi tiettyjä toimintoja ja indikaattoreita. Voit suorittaa seuraavat toiminnot kyselyn tuloksille:

Näytä kyselyn tulokset taulukkona tai kaaviona

Oletusarvoisesti kehittynyt metsästys näyttää kyselyn tulokset taulukkomuotoisena tietona. Voit myös näyttää samat tiedot kuin kaavio. Kehittynyt metsästys tukee seuraavia näkymiä:

Näkymän tyyppi Kuvaus
Taulukossa Näyttää kyselyn tulokset taulukkomuodossa
Pylväskaavio Hahmontaa x-akselilla olevien yksilöllisten kohteiden sarjan pystypalkkeiksi, joiden korkeudet edustavat toisen kentän numeerisia arvoja
Ympyräkaavio Hahmontaa yksilöllisiä kohteita edustavat osaympyräkaaviot. Kunkin ympyräkaavion koko edustaa toisen kentän numeerisia arvoja.
Viivakaavio Piirtää numeeriset arvot sarjalle yksilöllisiä kohteita ja yhdistää piirretyt arvot
Pistekaavio Piirtää numeeriset arvot sarjalle yksilöllisiä kohteita
Aluekaavio Piirtää numeeriset arvot yksilöllisten kohteiden sarjalle ja täyttää piirtoarvojen alapuolella olevat osat
Pinottu aluekaavio Piirtää numeeriset arvot sarjalle yksilöllisiä kohteita ja pinoaa täytetyt osat piirrettyjen arvojen alapuolelle
Aikakaavio Piirtää arvot määrän mukaan lineaariseen aika-asteikkoon

Tärkeää

Microsoft Defender portaali näyttää enintään 100 000 kehittynyttä metsästyskyselyn tulosta. Lisätietoja kehittyneestä metsästyskiintiöstä ja käyttöparametreista

Kyselyjen muodostaminen tehokkaille kaavioille

Kaavioita hahmonnettaessa kehittynyt metsästys tunnistaa automaattisesti kiinnostavat sarakkeet ja koostettavat numeeriset arvot. Jos haluat saada merkityksellisiä kaavioita, muodosta kyselysi siten, että ne palauttavat tietyt arvot, jotka haluat nähdä visualisoituina. Seuraavassa on joitakin esimerkkikyselyitä ja tuloksena saatuja kaavioita.

Hälytykset vakavuuden mukaan

Operaattorin summarize avulla voit saada kaavioon haluamiesi arvojen numeerisen määrän. Alla olevassa kyselyssä käytetään operaattoria summarize ilmoitusten määrän saamiseksi vakavuuden mukaan.

AlertInfo
| summarize Total = count() by Severity

Tuloksia hahmonnettaessa pylväskaavio näyttää jokaisen vakavuusarvon erillisenä sarakkeena:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Esimerkki kaaviosta, joka näyttää kehittyneen metsästyksen tulokset Microsoft Defender-portaalissa

Tietojenkalastelusähköpostiviestit kymmenen parhaan lähettäjän toimialueilla

Jos käsittelet arvoluetteloa, joka ei ole rajallinen, voit -operaattorin Top avulla kaaviotaa vain arvot, joilla on eniten esiintymiä. Jos haluat esimerkiksi saada kymmenen parasta lähettäjätoimialuetta, joilla on eniten tietojenkalastelusähköposteja, käytä alla olevaa kyselyä:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Ympyräkaavionäkymän avulla voit tehokkaasti näyttää jakauman ylimmissä toimialueissa:

Ympyräkaavio, joka näyttää kehittyneet metsästystulokset Microsoft Defender-portaalissa

Tiedostotoiminnot ajan kuluessa

Kun käytät -operaattoria summarize funktion bin() kanssa, voit tarkistaa tapahtumat, joihin liittyy tietty ilmaisin ajan kuluessa. Alla oleva kysely laskee tiedoston invoice.doc tapahtumat 30 minuutin välein, jotta kyseiseen tiedostoon liittyvä toimintopiikki näkyy:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Alla olevassa viivakaaviossa korostetaan selvästi ajanjaksoja, joihin liittyy invoice.docenemmän toimintoja:

Viivakaavio, joka näyttää tarkennetun metsästyksen tulokset Microsoft Defender-portaalissa

Vie taulukot ja kaaviot

Kun olet suoritettu kyselyn, tallenna tulokset paikalliseen tiedostoon valitsemalla Vie . Valitsemasi näkymä määrittää, miten tulokset viedään:

  • Taulukkonäkymä – Kyselyn tulokset viedään taulukkomuodossa Microsoft Excel -työkirjana
  • Mikä tahansa kaavio – Kyselytulokset viedään hahmonnetun kaavion JPEG-kuvana

Suodata tulokset

Kun olet suoritettu kyselyn, voit rajata tuloksia valitsemalla Suodatin .

Näyttökuva kehittyneen metsästyksen suodattimista.

Jos haluat lisätä suodattimen, valitse suodatettavat tiedot valitsemalla yksi tai useampi valintaruutu. Valitse sitten Lisää.

Näyttökuva kehittyneessä metsästyksessä avattavasta suodattimien valikosta.

Voit rajata tuloksia vielä enemmän tiettyihin tietoihin valitsemalla juuri lisätyn suodattimen.

Näyttökuva uudesta suodatinpilleristä kehittyneessä metsästyksessä.

Tämä avaa avattavan valikon, joka näyttää mahdolliset suodattimet, joita voit käyttää edelleen. Valitse yksi tai useampi valintaruutu ja valitse sitten Käytä.

Näyttökuva uuden suodattimen avattavasta valikosta kehittyneessä metsästyksessä.

Vahvista, että olet lisännyt haluamasi suodattimet, tarkistamalla Suodattimet-osio.

Näyttökuva lisätyistä suodattimista, jotka on lisätty kehittyneeseen metsästykseen.

Poraudu alaspäin kyselyn tuloksista

Voit myös tarkastella tuloksia seuraavien ominaisuuksien mukaisesti:

  • Laajenna tulos valitsemalla kunkin tuloksen vasemmalla puolella oleva avattavan valikon nuoli
  • Laajenna tarvittaessa JSON- ja matriisimuodoissa olevien tulosten tiedot valitsemalla avattavan valikon nuoli soveltuvien sarakkeiden nimien vasemmalla puolella luettavuuden lisäämiseksi
  • Avaa sivuruutu, niin näet tietueen tiedot (samanaikaisesti laajennettujen rivien kanssa)

Näyttökuva alaspäin porautumisen tulosten laajentamisesta

Voit myös napsauttaa hiiren kakkospainikkeella mitä tahansa rivin tulosarvoa niin, että voit sen avulla lisätä suodattimia olemassa olevaan kyselyyn tai kopioida arvon jatkotutkimuksissa käytettäväksi.

Näyttökuva vaihtoehdoista, kun asetusta napsautetaan hiiren kakkospainikkeella

Lisäksi JSON- ja matriisikentissä voit napsauttaa hiiren kakkospainikkeella ja päivittää olemassa olevaa kyselyä niin, että se sisältää kentän tai jättää sen pois, tai laajentaa kentän uuteen sarakkeeseen.

Näyttökuva asetuksista napsautettaessa hiiren kakkospainikkeella vaihtoehtoa JSON- ja matriisikentille

Jos haluat tarkistaa nopeasti kyselyn tulosten tietueen, valitse vastaava rivi ja avaa Tarkista tietue -paneeli. Paneeli antaa seuraavat tiedot valitun tietueen perusteella:

  • Assets – Yhteenvetonäkymä tietueesta löytyneiden pääasiallisten resurssien (postilaatikot, laitteet ja käyttäjät) kanssa täydennettynä saatavilla tiedoilla, kuten riski- ja altistustasoilla
  • Kaikki tiedot – kaikki tietueen sarakkeiden arvot

Valittu tietue, jossa on paneeli Microsoft Defender portaalin tietueen tarkistamista varten

Jos haluat tarkastella lisätietoja tietystä entiteetistä kyselyn tuloksissa, kuten konetta, tiedostoa, käyttäjää, IP-osoitetta tai URL-osoitetta, valitse entiteetin tunnus avataksesi yksityiskohtaisen profiilisivun kyseiselle entiteetille.

Kyselyiden muokkaaminen tuloksista

Valitse kolme pisteestä minkä tahansa sarakkeen oikealla puolella Tarkista tietue -paneelissa. Voit käyttää asetuksia seuraavasti:

  • Etsi valittu arvo eksplisiittisesti (==)
  • Jätä valittu arvo pois kyselystä (!=)
  • Hae kehittyneempiä operaattoreita, joiden avulla voit lisätä arvon kyselyyn, kuten contains, starts withja ends with

Näyttökuva Microsoft Defender portaalin Tarkista tietue -sivun Toiminnon tyyppi -ruudusta.

Lisää kohteita suosikkeihin

Voit lisätä usein käyttämäsi rakenteet, funktiot, kyselyt ja tunnistussäännöt lisätyn metsästyssivun jokaisen välilehden Suosikit-osioon, jotta pääset nopeasti käsiksi.

Näyttökuva kehittyneestä metsästyssivusta, jossa Suosikit-osio on korostettuna.

Jos haluat esimerkiksi lisätä AlertInfosuosikkeihin, siirry Rakenne-välilehteen ja valitse kolme pisteistä taulukon oikealla puolella ja valitse Lisää suosikkeihin.

Näyttökuva Lisäasetukset-metsästyssivun Lisää suosikkeihin -vaihtoehdosta.

Ilmoitus näyttää ilmoittavan, että kohde lisättiin suosikkeihin onnistuneesti.

Näyttökuva ilmoituksesta, jonka mukaan uusi kohde on lisätty Suosikit-kohtaan kehittyneessä metsästyksessä.

Voit tehdä saman tallennetuille funktioille, kyselyille ja mukautetuille tunnistuksille niiden Suosikit-osioissa suoraan kunkin välilehden alla (funktiot, kyselyt ja tunnistussäännöt).

Huomautus

Jotkin tämän artikkelin taulukot eivät ehkä ole käytettävissä Microsoft Defender for Endpoint. Ota Microsoft Defender XDR käyttöön uhkien etsimiseksi käyttämällä enemmän tietolähteitä. Voit siirtää kehittyneet metsästystyönkulut Microsoft Defender for Endpoint Microsoft Defender XDR noudattamalla kohdassa Kehittyneiden metsästyskyselyjen siirtäminen Microsoft Defender for Endpoint ohjeita.

Automaattinen aikajanan hahmontaminen

Oletuksena edistyneiden metsästystulosten yläpuolella näkyy aikajana, joka näyttää tapahtumien lukumäärät ajan kuluessa. Aikajana hahmonnetaan automaattisesti kyselyn tulosten tai timeGenerated -sarakkeen perusteellaTimestamp. Se päivittyy automaattisesti, kun käytät suodattimia, ja se voi auttaa sinua tunnistamaan nopeasti epänormaalin toiminnan ja trendit ja keskittymään mielenkiintoisiin tuloksiin.

Näyttökuva kyselyn yläpuolella olevasta aikajanasta johtaa kehittyneeseen metsästykseen.

Voit valita, näytetäänkö aikajana oletusarvoisesti kaavioasetusten asetuksissa.

Näyttökuva kehittyneen metsästyksen Sivuasetukset-asetuksista.

Aikajana säätää automaattisesti sen tarkkuutta tulosalueen perusteella.

Suodata aikajanan tulokset

Valitse mikä tahansa aikajanan kohta suodattaaksesi sekä tulokset että aikajanan kyseiselle aikavälille. Aikajanan skaalaus päivittyy myös vastaamaan valittua ajanjaksoa, joten kun suodatat tietyn alueen mukaan, se lähentyy ja näyttää tapahtuman jakauman suurella tarkkuudella.

Seuraavassa näyttökuvassa näytetään tulokset kyselystä, joka palauttaa 1 000 sähköpostitapahtumaa. Aikajanaa ei ole suodatettu, joten se näyttää koko tulosvalikoiman ja kunkin päivän aikaleiman. Valitse päivä tai päivien alue, jos haluat suodattaa kyseisen ajanjakson tulokset.

Näyttökuva 1 000 sähköpostitapahtuman kehittyneestä metsästyskyselystä, jossa kaikki tulokset on suodatettu.

Aikajanan jakaminen arvojen mukaan

Voit jakaa tulokset aikajanalla millä tahansa sarakkeella, jossa on vähintään kaksi mutta alle 50 yksilöllistä arvoa.

Seuraavassa näyttökuvassa näytetään tulokset kyselystä, joka palauttaa 1 000 sähköpostitapahtumaa. Aikajanan ryhmittely on purettu, joten kaikki tulokset näkyvät yhdellä rivillä.

Näyttökuva 1 000 sähköpostitapahtuman kehittyneestä metsästyskyselystä, jossa tulokset ovat kaikki yhdessä rivissä.

Muuta kaaviolajia

Voit muuttaa aikajanan kaaviotyyppiä valitsemalla eri vaihtoehdon avattavasta kaaviotyyppivalikosta. Käytettävissä olevat kaaviotyypit ovat seuraavat:

  • Viivakaavio
  • Pylväskaavio
  • Ympyräkaavio

Näyttökuva 1 000 sähköpostitapahtuman kehittyneestä metsästyskyselystä, jossa tulokset näkyvät pylväskaaviossa.

Hahmontamisehdot

Aikajana näkyy vain, jos seuraavat ehdot täyttyvät:

  • Tuloksissa on yli 40 tapahtumaa.
  • Siinä on Timestamp tai timeGenerated sarake.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

  • Last updated on