Luo metsästyskyselyitä ohjatun tilan avulla Microsoft Defender XDR

Koskee seuraavia:

• Microsoft Defender XDR

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Ohjatussa tilassa kyselyn muodostimen avulla analyytikot voivat luoda merkityksellisiä metsästyskyselyitä tietämättä Kusto Query Languagea (KQL) tai tietorakennetta. Jokaisen käyttökokemuksen tason analyytikot voivat käyttää kyselyn muodostinta suodattaakseen viimeisten 30 päivän tiedot uhkien etsimiseksi, tapausten tutkinnan laajentamiseksi, tietojen analysoimiseksi uhkatiedoille tai keskittyäkseen tiettyihin uhka-alueisiin.

Analyytikko voi valita, mitä tietojoukkoa tarkastellaan ja mitä suodattimia ja ehtoja käytetään rajatakseen tiedot siihen, mitä he tarvitsevat.

Voit katsoa tämän videon, jossa on yleiskatsaus ohjatusta metsästyksestä:

Avaa kysely muodostimessa

Valitse Lisämetsästys-sivullaCreate uusi avataksesi uuden kyselyvälilehden ja valitse Kysely muodostimessa.

Tämä tuo sinut ohjattuun tilaan, jossa voit sitten muodostaa kyselyn valitsemalla eri osia avattavien valikoiden avulla.

Määritä tietotoimialue, jossa etsitään

Voit hallita metsästyksen laajuutta valitsemalla, minkä toimialueen kysely kattaa:

Jos valitset Kaikki , se sisältää tietoja kaikista toimialueista, joihin sinulla on tällä hetkellä käyttöoikeus. Tiettyyn toimialueeseen rajaaminen sallii vain kyseiseen toimialueeseen liittyvät suodattimet.

Voit valita esimerkiksi:

• Kaikki toimialueet – voit tarkastella kaikkia kyselyn käytettävissä olevia tietoja
• Päätepisteet – voit tarkastella päätepistetietoja Microsoft Defender for Endpoint
• Sovellukset ja käyttäjätiedot – voit tarkastella Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity tarjoamia sovellus- ja käyttäjätietoja. Toimintalokiin perehtyneet käyttäjät löytävät samat tiedot täältä
• Sähköposti ja yhteistyö – voit tarkastella sähköposti- ja yhteistyösovellusten tietoja, kuten SharePointia, OneDrivea ja muita; Threat Exploreriin perehtyneet käyttäjät löytävät samat tiedot täältä

Perussuodattimien käyttäminen

Ohjattu metsästys sisältää oletusarvoisesti muutamia perussuodattimia, joiden avulla pääset alkuun nopeasti.

Kun valitset yhden tietolähteen, esimerkiksi päätepisteet, kyselyn muodostin näyttää vain soveltuvat suodatinryhmät. Voit sitten valita suodattimen, jota haluat rajata, valitsemalla kyseisen suodatinryhmän, esimerkiksi EventType, ja valitsemalla haluamasi suodattimen.

Kun kysely on valmis, valitse sininen Suorita kysely -painike. Jos painike näkyy harmaana, kysely on täytettävä tai sitä on muokattava edelleen.

Huomautus

Perussuodatinnäkymä käyttää vain AND-operaattoria , mikä tarkoittaa, että kyselyn suorittaminen luo tulokset, joille kaikki määritetyt suodattimet ovat tosia.

Mallikyselyiden lataaminen

Toinen nopea tapa tutustua ohjattuun metsästykseen on ladata mallikyselyt avattavan Lataa mallikyselyt -valikon avulla.

Huomautus

Mallikyselyn valitseminen ohittaa aiemmin luodun kyselyn.

Kun mallikysely on ladattu, valitse Suorita kysely.

Jos olet aiemmin valinnut toimialueen, käytettävissä olevien esimerkkikyselyiden luettelo muuttuu vastaavasti.

Jos haluat palauttaa mallikyselyiden täydellisen luettelon, valitse Kaikki toimialueet ja avaa sitten Lataa mallikyselyt uudelleen.

Jos ladattu mallikysely käyttää perussuodatinjoukon ulkopuolisia suodattimia, vaihtopainike näkyy harmaana. Voit palata perussuodatinjoukkoon valitsemalla Tyhjennä kaikki ja valitsemalla sitten Kaikki suodattimet.

Käytä lisää suodattimia

Jos haluat nähdä lisää suodatinryhmiä ja ehtoja, valitse Vaihtopainike, niin näet lisää suodattimia ja ehtoja.

Kun Kaikki suodattimet - vaihtopainike on aktiivinen, voit nyt käyttää kaikkia suodattimia ja ehtoja ohjatussa tilassa.

Create ehdot

Jos haluat määrittää kyselyssä käytettävän tietojoukon, valitse Valitse suodatin. Tutustu erilaisiin suodatinosioihin ja etsi, mitä käytettävissäsi on.

Etsi suodatin kirjoittamalla osan otsikot luettelon yläosassa olevaan hakuruutuun. Tietoihin päättyvät osiot sisältävät suodattimia, jotka antavat tietoja eri osista, joita voit tarkastella, ja entiteettitilojen suodattimia. Tapahtumiin päättyvät osat sisältävät suodattimia, joiden avulla voit etsiä mitä tahansa valvottua tapahtumaa entiteetistä. Voit esimerkiksi etsiä tiettyjen laitteiden toimintoja käyttämällä Laitetapahtumat-osion suodattimia.

Huomautus

Sellaisen suodattimen valitseminen, joka ei ole perussuodatinluettelossa, poistaa aktivoinnin tai muuttaa sen harmaaksi, jotta voit palata perussuodatinnäkymään. Jos haluat nollata kyselyn tai poistaa olemassa olevat suodattimet nykyisessä kyselyssä, valitse Tyhjennä kaikki. Tämä myös aktivoi uudelleen perussuodatinluettelon.

Määritä seuraavaksi sopiva ehto tietojen suodattamiseksi edelleen valitsemalla ne toisesta avattavasta valikosta ja antamalla tarvittaessa merkinnät kolmanteen avattavaan valikkoon:

Voit lisätä kyselyyn lisää ehtoja käyttämällä AND- ja OR-ehtoja . JA palauttaa tulokset, jotka täyttävät kaikki kyselyn ehdot, kun taas OR palauttaa tulokset, jotka täyttävät minkä tahansa kyselyn ehdoista.

Kyselyn hienosäätämisen avulla voit seuloa automaattisesti laajoja tietueita luodaksesi luettelon tuloksista, jotka on jo kohdistettu erityiseen uhkien metsästystarpeeesi.

Lisätietoja tuetuista tietotyypeistä ja muista ohjatun tilan ominaisuuksista, joiden avulla voit hienosäätää kyselyä, on artikkelissa Kyselyn hienosäätäminen ohjatussa tilassa.

Kokeile kyselyn esimerkkien vaiheittaisia ohjeita

Toinen tapa tutustua ohjattuun metsästykseen on ladata mallikyselyt, jotka on luotu valmiiksi ohjatussa tilassa.

Olemme toimittaneet metsästyssivun Aloittaminen-osiossa kolme ohjattua kyselyesimerkkiä, jotka voit ladata. Kyselyesimerkit sisältävät yleisimpiä suodattimia ja syötteitä, joita yleensä tarvitset metsästyksessä. Kaikkien kolmen esimerkkikyselyn lataaminen avaa ohjatun esittelyn siitä, miten voit luoda merkinnän ohjatun tilan avulla.

Luo kysely noudattamalla sinisten opetuskuplien ohjeita. Valitse Suorita kysely.

Kokeile kyselyitä

Onnistuneiden yhteyksien etsiminen tiettyyn IP-kohteeseen

Jos haluat etsiä onnistunutta verkkoviestintää tiettyyn IP-osoitteeseen, ala kirjoittaa "ip" saadaksesi ehdotettuja suodattimia:

Jos haluat etsiä tapahtumia, joihin liittyy tietty IP-osoite, jossa IP-osoite on tietoliikenteen kohde, valitse DestinationIPAddress IP-osoitetapahtumat-osasta. Valitse sitten yhtä suuri kuin - operaattori. Kirjoita IP-osoite kolmanteen avattavaan valikkoon ja paina Enter:

Jos haluat lisätä toisen ehdon, joka etsii onnistuneita verkkoviestintätapahtumia, hae tietyn tapahtumatyypin suodatin:

EventType-suodatin etsii kirjatut eri tapahtumatyypit. Se vastaa ActionType-saraketta , joka on useimmissa kehittyneen metsästyksen taulukoissa. Valitse se, jos haluat valita yhden tai useamman tapahtumatyypin, jonka mukaan suodatetaan. Jos haluat etsiä onnistuneita verkkoviestintätapahtumia, laajenna DeviceNetworkEvents-osio ja valitse ConnectionSuccesssitten :

Valitse lopuksi Suorita kysely , jos haluat etsiä kaikki onnistuneet verkkoviestinnät 52.168.117.170 IP-osoitteeseen:

Etsi erittäin luotettavuuskalastelu- tai roskapostisähköposteja, jotka toimitetaan Saapuneet-kansioon

Jos haluat etsiä kaikkia erittäin luotettavaa tietojenkalastelu- ja roskapostiviestiä, jotka toimitettiin Saapuneet-kansioon toimitushetkellä, valitse ensin ConfidenceLevel Kohdasta Sähköpostitapahtumat, valitse Yhtä suuri kuin ja valitse Suuri sekä Phish- että Roskaposti-kohdasta ehdotetusta suljetusta luettelosta, joka tukee monivalintaa:

Lisää sitten toinen ehto, tällä kertaa määrittämällä kansio tai DeliveryLocation, Saapuneet/kansio.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Kyselyn tarkentaminen ohjatussa tilassa
• Kyselytulosten käsitteleminen ohjatussa tilassa
• Rakenteen ymmärtäminen

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.