Partage via

Créer des requêtes de chasse à l’aide du mode guidé dans Microsoft Defender

  • Article

S’applique à :

  • Microsoft Defender XDR

Importante

Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Le générateur de requêtes en mode guidé permet aux analystes de créer des requêtes de chasse significatives sans connaître Langage de requête Kusto (KQL) ou le schéma de données. Les analystes de tous les niveaux d’expérience peuvent utiliser le générateur de requêtes pour filtrer les données des 30 derniers jours afin de rechercher des menaces, d’étendre les enquêtes sur les incidents, d’effectuer des analyses de données sur les données de menace ou de se concentrer sur des zones de menace spécifiques.

L’analyste peut choisir le jeu de données à examiner et les filtres et conditions à utiliser pour limiter les données à ce dont ils ont besoin.

Vous pouvez watch cette vidéo pour obtenir une vue d’ensemble de la chasse guidée :

Ouvrir une requête dans le générateur

Dans la page Repérage avancé , sélectionnez Créer pour ouvrir un nouvel onglet de requête, puis sélectionnez Requête dans le générateur.

Capture d’écran du générateur de requêtes en mode guidé

Cela vous amène au mode guidé, où vous pouvez ensuite construire votre requête en sélectionnant différents composants à l’aide des menus déroulants.

Spécifier le domaine de données dans lequel rechercher

Vous pouvez contrôler l’étendue de la chasse en sélectionnant le domaine couvert par la requête :

Capture d’écran de la liste déroulante des domaines du générateur de requêtes en mode guidé

La sélection de Tous inclut les données de tous les domaines auquel vous avez actuellement accès. La réduction à un domaine spécifique autorise les filtres pertinents pour ce domaine uniquement.

Vous pouvez choisir :

  • Tous les domaines : pour examiner toutes les données disponibles dans votre requête.
  • Points de terminaison : pour examiner les données de point de terminaison fournies par Microsoft Defender pour point de terminaison.
  • Email et collaboration : pour examiner les données des applications de messagerie et de collaboration telles que SharePoint, OneDrive et autres, les utilisateurs familiarisés avec Threat Explorer peuvent trouver les mêmes données ici.
  • Applications et identités : pour examiner les données d’application et d’identité fournies par Microsoft Defender for Cloud Apps et Microsoft Defender pour Identity, les utilisateurs familiarisés avec le journal d’activité peuvent trouver les mêmes données ici.
  • Infrastructure cloud : pour examiner les données d’infrastructure cloud fournies par Microsoft Defender pour le cloud.
  • Gestion de l’exposition : pour examiner les données de gestion des expositions fournies par Sécurité Microsoft - Gestion de l’exposition.

Utiliser des filtres de base

Par défaut, la chasse guidée comprend quelques filtres de base pour vous aider à démarrer rapidement.

Capture d’écran du jeu de filtres de base du générateur de requêtes en mode guidé

Lorsque vous choisissez une source de données, pour instance, Points de terminaison, le générateur de requêtes affiche uniquement les groupes de filtres applicables. Vous pouvez ensuite choisir un filtre qui vous intéresse en sélectionnant ce groupe de filtres, pour instance, EventType, puis en sélectionnant le filtre de votre choix.

Capture d’écran du jeu de filtres de base du point de terminaison du générateur de requêtes en mode guidé

Une fois la requête prête, sélectionnez le bouton bleu Exécuter la requête . Si le bouton est grisé, cela signifie que la requête doit être remplie ou modifiée.

Remarque

La vue de filtre de base utilise uniquement l’opérateur AND , ce qui signifie que l’exécution de la requête génère des résultats pour lesquels tous les filtres définis ont la valeur true.

Charger des exemples de requêtes

Un autre moyen rapide de se familiariser avec la chasse guidée consiste à charger des exemples de requêtes à l’aide du menu déroulant Charger des exemples de requêtes . Capture d’écran de la liste des exemples de requêtes de chargement du générateur de requêtes en mode guidé

Remarque

La sélection d’un exemple de requête remplace la requête existante.

Une fois l’exemple de requête chargé, sélectionnez Exécuter la requête.

Capture d’écran de la requête chargée du générateur de requêtes en mode guidé

Si vous avez déjà sélectionné un domaine, la liste des exemples de requêtes disponibles change en conséquence.

Capture d’écran de la liste restreinte du générateur de requêtes en mode guidé

Pour restaurer la liste complète des exemples de requêtes, sélectionnez Tous les domaines , puis rouvrez Charger les exemples de requêtes.

Si l’exemple de requête chargé utilise des filtres en dehors du jeu de filtres de base, le bouton bascule est grisé. Pour revenir au jeu de filtres de base, sélectionnez Effacer tout , puis basculez tous les filtres.

Utiliser plus de filtres

Pour afficher d’autres groupes de filtres et conditions, sélectionnez Basculer pour afficher d’autres filtres et conditions.

Capture d’écran du bouton bascule d’autres filtres du Générateur de requêtes en mode guidé

Lorsque le bouton bascule Tous les filtres est actif, vous pouvez désormais utiliser la gamme complète de filtres et de conditions en mode guidé.

Capture d’écran de tous les filtres actifs du générateur de requêtes en mode guidé

Créer des conditions

Pour spécifier un jeu de données à utiliser dans la requête, sélectionnez Sélectionner un filtre. Explorez les différentes sections de filtre pour trouver ce qui est disponible.

Capture d’écran montrant les différents filtres que vous pouvez utiliser

Tapez les titres de la section dans la zone de recherche en haut de la liste pour rechercher le filtre. Les sections se terminant par des informations contiennent des filtres qui fournissent des informations sur les différents composants que vous pouvez examiner et des filtres pour les états des entités. Les sections se terminant par des événements contiennent des filtres qui vous permettent de rechercher n’importe quel événement surveillé sur l’entité. Par instance, pour rechercher des activités impliquant certains appareils, vous pouvez utiliser les filtres sous la section Événements d’appareil.

Remarque

Le choix d’un filtre qui ne figure pas dans la liste des filtres de base désactive ou grise le bouton bascule pour revenir à la vue filtres de base. Pour réinitialiser la requête ou supprimer les filtres existants dans la requête actuelle, sélectionnez Effacer tout. Cela réactive également la liste des filtres de base.

Ensuite, définissez la condition appropriée pour filtrer davantage les données en les sélectionnant dans le deuxième menu déroulant et en fournissant des entrées dans le troisième menu déroulant si nécessaire :

Capture d’écran montrant différentes conditions que vous pouvez utiliser

Vous pouvez ajouter d’autres conditions à votre requête à l’aide des conditions AND et OR . AND retourne des résultats qui remplissent toutes les conditions de la requête, tandis que OR retourne des résultats qui remplissent l’une des conditions de la requête.

Capture d’écran montrant les opérateurs AND OR

L’affinement de votre requête vous permet de passer automatiquement au crible les enregistrements volumineux pour générer une liste de résultats qui est déjà ciblée sur votre besoin spécifique de repérage des menaces.

Pour connaître les types de données pris en charge et d’autres fonctionnalités du mode guidé pour vous aider à affiner votre requête, consultez Affiner votre requête en mode guidé.

Essayer des exemples de procédures pas à pas de requête

Une autre façon de vous familiariser avec la chasse guidée consiste à charger des exemples de requêtes précréé en mode guidé.

Dans la section Prise en main de la page de repérage, nous avons fourni trois exemples de requêtes guidées que vous pouvez charger. Les exemples de requête contiennent certains des filtres et des entrées les plus courants dont vous avez généralement besoin dans votre repérage. Le chargement de l’un des trois exemples de requêtes ouvre une visite guidée de la façon dont vous construisez l’entrée à l’aide du mode guidé.

Capture d’écran des procédures pas à pas de démarrage des requêtes du générateur de requêtes en mode guidé

Suivez les instructions dans les bulles d’enseignement bleues pour construire votre requête. Sélectionnez Exécuter la requête.

Essayer des requêtes

Rechercher des connexions réussies à une adresse IP spécifique

Pour rechercher des communications réseau réussies vers une adresse IP spécifique, commencez à taper « ip » pour obtenir des filtres suggérés :

Capture d’écran de la recherche du générateur de requêtes en mode guidé pour les connexions réussies à un filtre IP first spécifique

Pour rechercher les événements impliquant une adresse IP spécifique où l’adresse IP est la destination de la communication, sélectionnez DestinationIPAddress sous la section Événements d’adresse IP. Sélectionnez ensuite l’opérateur equals . Tapez l’adresse IP dans le troisième menu déroulant, puis appuyez sur Entrée :

Capture d’écran de la recherche du générateur de requêtes en mode guidé pour les connexions réussies à une adresse IP spécifique

Ensuite, pour ajouter une deuxième condition qui recherche des événements de communication réseau réussis, recherchez le filtre d’un type d’événement spécifique :

Capture d’écran de la recherche du générateur de requêtes en mode guidé pour les connexions réussies à une adresse IP spécifique, deuxième condition

Le filtre EventType recherche les différents types d’événements enregistrés. Elle équivaut à la colonne ActionType qui existe dans la plupart des tables de la chasse avancée. Sélectionnez-la pour choisir un ou plusieurs types d’événements à filtrer. Pour rechercher des événements de communication réseau réussis, développez la section DeviceNetworkEvents , puis choisissez ConnectionSuccess:

Capture d’écran de la recherche du générateur de requêtes en mode guidé pour les connexions réussies à une troisième condition IP spécifique

Enfin, sélectionnez Exécuter la requête pour rechercher toutes les communications réseau réussies vers l’adresse IP 52.168.117.170 :

Capture d’écran de la recherche du générateur de requêtes en mode guidé pour les connexions réussies à l’affichage des résultats IP spécifiques

Rechercher les e-mails de hameçonnage ou de courrier indésirable à haut niveau de confiance remis à la boîte de réception

Pour rechercher tous les messages d’hameçonnage et de courrier indésirable à haut niveau de confiance qui ont été remis dans le dossier boîte de réception au moment de la remise, sélectionnez d’abord ConfianceLevel sous Email Événements, sélectionnez égal, puis choisissez Élevé sous Hameçonnage et Courrier indésirable dans la liste fermée suggérée qui prend en charge la sélection multiple :

Capture d’écran des e-mails de hameçonnage ou de courrier indésirable du générateur de requêtes en mode guidé remis à la boîte de réception, première condition

Ensuite, ajoutez une autre condition, en spécifiant cette fois le dossier ou DeliveryLocation, Boîte de réception/dossier.

Capture d’écran des e-mails de hameçonnage ou de courrier indésirable en mode guidé du générateur de requêtes à haut niveau de confiance remis à la boîte de réception, deuxième condition

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.