Partager via

Affiner votre requête en mode guidé

  • Article

S’applique à :

  • Microsoft Defender XDR

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Utiliser différents types de données

La chasse avancée en mode guidé prend en charge plusieurs types de données que vous pouvez utiliser pour affiner votre requête.

  • Nombres
    Capture d’écran des nombres en tant que troisième condition

  • Chaînes
    Capture d’écran des chaînes en tant que troisième condition

    Dans la zone de texte libre, tapez la valeur et appuyez sur Entrée pour l’ajouter. Notez que le délimiteur entre les valeurs est Entrée.

    Capture d’écran montrant différentes conditions que vous pouvez utiliser

  • Valeur booléenne
    Capture d’écran des valeurs booléennes en tant que troisième condition

  • Datetime
    Capture d’écran des valeurs datetime en tant que troisième condition

  • Liste fermée : vous n’avez pas besoin de vous souvenir de la valeur exacte que vous recherchez. Vous pouvez facilement choisir parmi une liste fermée suggérée qui prend en charge la sélection multiple.
    Capture d’écran d’une liste fermée utilisée comme troisième condition

Utiliser des sous-groupes

Vous pouvez créer des groupes de conditions en cliquant sur Ajouter un sous-groupe :

Capture d’écran mettant en évidence le bouton Ajouter un sous-groupe

Capture d’écran montrant l’utilisation de sous-groupes

La saisie semi-automatique intelligente pour la recherche d’appareils et de comptes d’utilisateur est prise en charge. Vous n’avez pas besoin de mémoriser l’ID d’appareil, le nom complet de l’appareil ou le nom du compte d’utilisateur. Vous pouvez commencer à taper les premiers caractères de l’appareil ou de l’utilisateur que vous recherchez et une liste suggérée s’affiche à partir de laquelle vous pouvez choisir ce dont vous avez besoin :

Capture d’écran montrant la prise en charge de la saisie semi-automatique intelligente

Utiliser EventType

Vous pouvez même rechercher des types d’événements spécifiques tels que tous les échecs de connexion, les événements de modification de fichier ou les connexions réseau réussies à l’aide du filtre EventType dans n’importe quelle section où il est applicable.

Par instance, si vous souhaitez ajouter une condition qui recherche des suppressions de valeurs de Registre, vous pouvez accéder à la section Événements du registre et sélectionner EventType.

Capture d’écran de différents EventTypes

La sélection de EventType sous Événements du registre vous permet de choisir parmi différents événements de registre, y compris celui que vous recherchez, RegistryValueDeleted.

Capture d’écran d’EventType RegistryValueDeleted

Remarque

EventType est l’équivalent de dans le schéma de ActionType données, que les utilisateurs du mode avancé peuvent être plus familiarisés.

Tester votre requête avec une taille d’échantillon plus petite

Si vous travaillez toujours sur votre requête et que vous souhaitez voir rapidement ses performances et certains exemples de résultats, ajustez le nombre d’enregistrements à retourner en sélectionnant un jeu plus petit dans le menu déroulant Taille de l’échantillon .

Capture d’écran du menu déroulant taille de l’exemple

La taille de l’échantillon est définie sur 10 000 résultats par défaut. Il s’agit du nombre maximal d’enregistrements qui peuvent être retournés lors de la chasse. Toutefois, nous vous recommandons vivement de réduire la taille de l’échantillon à 10 ou 100 pour tester rapidement votre requête, car cela consomme moins de ressources pendant que vous travaillez encore à l’amélioration de la requête.

Ensuite, une fois que vous avez finalisé votre requête et que vous êtes prêt à l’utiliser pour obtenir tous les résultats pertinents pour votre activité de chasse, assurez-vous que la taille de l’échantillon est définie sur 10 000, la taille maximale.

Passer en mode avancé après avoir généré une requête

Vous pouvez cliquer sur Modifier dans KQL pour afficher la requête KQL générée par les conditions sélectionnées. La modification dans KQL ouvre un nouvel onglet en mode avancé, avec la requête KQL correspondante :

Capture d’écran mettant en évidence le bouton Modifier dans KQL

Capture d’écran montrant la même requête de guidé à avancé

Dans l’exemple ci-dessus, la vue sélectionnée est Tous. Par conséquent, vous pouvez voir que la requête KQL recherche toutes les tables qui ont des propriétés de fichier de name et SHA256, et dans toutes les colonnes pertinentes couvrant ces propriétés.

Si vous remplacez l’affichage par e-mails & collaboration, la requête est limitée à :

Capture d’écran montrant la même requête de guidé à avancé, mais avec un domaine limité

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.