Obtenir une formation d’expert sur la chasse avancée
S’applique à :
- Microsoft Defender XDR
Améliorez rapidement vos connaissances en matière de chasse avancée grâce au suivi de l’adversaire, une série de diffusions web destinée aux nouveaux analystes de sécurité et aux chasseurs de menaces chevronnés. La série vous guide à travers les principes de base jusqu’à la création de vos propres requêtes sophistiquées. Commencez par la première vidéo sur les principes de base ou passez à des vidéos plus avancées qui correspondent à votre niveau d’expérience.
Titre | Description | Regarder | Requêtes |
---|---|---|---|
Épisode 1 : Principes de base de KQL | Cet épisode couvre les bases de la chasse avancée dans Microsoft Defender XDR. Découvrez les données de chasse avancées disponibles, ainsi que la syntaxe et les opérateurs KQL de base. | YouTube (54:14) | Fichier texte |
Episode 2 : Jointures | Continuez à en savoir plus sur les données dans la chasse avancée et sur la façon de joindre des tables. Découvrez inner les jointures , outer , unique et semi et comprenez les nuances de la jointure Kusto innerunique par défaut. |
YouTube (53:33) | Fichier texte |
Épisode 3 : Résumé, pivotation et visualisation des données | Maintenant que vous avez appris à filtrer, manipuler et joindre des données, il est temps de résumer, quantifier, pivoter et visualiser. Cet épisode traite de l’opérateur summarize et de différents calculs, tout en introduisant des tables supplémentaires dans le schéma. Vous apprendrez également à transformer des jeux de données en graphiques qui peuvent vous aider à extraire des informations. |
YouTube (48:52) | Fichier texte |
Episode 4 : Let’s hunt ! Application de KQL au suivi des incidents | Dans cet épisode, vous allez apprendre à suivre l’activité d’un attaquant. Nous utilisons notre meilleure compréhension du Kusto et de la chasse avancée pour suivre une attaque. Découvrez les astuces réelles utilisées sur le terrain, y compris les ABC de la cybersécurité et comment les appliquer à la réponse aux incidents. | YouTube (59:36) | Fichier texte |
Obtenez une formation plus approfondie avec L33TSP3AK : Advanced hunting in Microsoft Defender XDR, une série de diffusion web pour les analystes qui cherchent à développer leurs connaissances techniques et leurs compétences pratiques dans la conduite d’enquêtes de sécurité à l’aide de la chasse avancée dans Microsoft Defender XDR.
Titre | Description | Regarder | Requêtes |
---|---|---|---|
Épisode 1 | Dans cet épisode, vous allez découvrir différentes bonnes pratiques en matière d’exécution de requêtes de chasse avancées. Parmi les sujets abordés figurent : comment optimiser vos requêtes, utiliser la chasse avancée pour les rançongiciels, gérer JSON en tant que type dynamique et travailler avec des opérateurs de données externes. | YouTube (56:34) | Fichier texte |
Épisode 2 | Dans cet épisode, vous allez apprendre à examiner et à répondre aux emplacements d’ouverture de session suspects ou inhabituels et à l’exfiltration de données via des règles de transfert de boîte de réception. Sébastien Molendijk, senior program manager for Cloud Security CxE, explique comment utiliser la chasse avancée pour examiner les incidents multiphases avec des données Microsoft Defender for Cloud Apps. | YouTube (57:07) | Fichier texte |
Épisode 3 | Dans cet épisode, nous allons aborder les dernières améliorations apportées à la chasse avancée, comment importer une source de données externe dans votre requête et comment utiliser le partitionnement pour segmenter les résultats de requêtes volumineux en jeux de résultats plus petits afin d’éviter d’atteindre les limites de l’API. | YouTube (40:59) | Fichier texte |
Comment utiliser le fichier CSL
Avant de commencer un épisode, accédez au fichier texte correspondant sur GitHub et copiez son contenu dans l’éditeur de requête de repérage avancé. Lorsque vous watch un épisode, vous pouvez utiliser le contenu copié pour suivre l’orateur et exécuter des requêtes.
L’extrait suivant d’un fichier texte contenant les requêtes montre un ensemble complet d’instructions marquées comme des commentaires avec //
.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Le même fichier texte inclut des requêtes avant et après les commentaires, comme indiqué ci-dessous. Pour exécuter une requête spécifique avec plusieurs requêtes dans l’éditeur, déplacez le curseur vers cette requête et sélectionnez Exécuter la requête.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Autres ressources
Titre | Description | Regarder |
---|---|---|
Jointure de tables dans KQL | Découvrez la puissance de la jointure de tables pour créer des résultats significatifs. | YouTube (4:17) |
Optimisation des tables dans KQL | Découvrez comment éviter les délais d’expiration lors de l’exécution de requêtes complexes en optimisant vos requêtes. | YouTube (5:38) |
Voir aussi
- Vue d’ensemble du repérage avancé
- Découvrir le langage de requête de repérage avancé
- Utiliser les résultats d’une requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.