Partage via

Utiliser des résultats de requête de repérage avancés

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

Bien que vous puissiez construire vos requêtes de chasse avancées pour retourner des informations précises, vous pouvez également travailler avec les résultats de la requête pour obtenir des insights supplémentaires et examiner des activités et des indicateurs spécifiques. Vous pouvez effectuer les actions suivantes sur les résultats de votre requête :

  • Afficher les résultats sous forme de tableau ou de graphique
  • Exporter des tables et des graphiques
  • Descendre dans la hiérarchie jusqu’aux informations détaillées sur l’entité
  • Ajustez vos requêtes directement à partir des résultats

Afficher les résultats de la requête sous forme de table ou de graphique

Par défaut, la chasse avancée affiche les résultats de la requête sous forme de données tabulaires. Vous pouvez également afficher les mêmes données qu’un graphique. La chasse avancée prend en charge les vues suivantes :

Type d’affichage Description
Tableau Affiche les résultats de la requête au format tabulaire
Histogramme Affiche une série d’éléments uniques sur l’axe X sous forme de barres verticales dont les hauteurs représentent des valeurs numériques d’un autre champ
Camembert Restitue les secteurs de section représentant des éléments uniques. La taille de chaque secteur représente les valeurs numériques d’un autre champ.
Graphique en courbes Trace des valeurs numériques pour une série d’éléments uniques et connecte les valeurs tracées
Nuage de points Trace les valeurs numériques d’une série d’éléments uniques
Graphique en aires Trace les valeurs numériques d’une série d’éléments uniques et remplit les sections sous les valeurs tracées
Graphique en aires empilées Trace les valeurs numériques d’une série d’éléments uniques et empile les sections remplies sous les valeurs tracées
Graphique de temps Trace les valeurs par comptage sur une échelle de temps linéaire

Construire des requêtes pour les graphiques effectifs

Lors du rendu des graphiques, la chasse avancée identifie automatiquement les colonnes d’intérêt et les valeurs numériques à agréger. Pour obtenir des graphiques significatifs, construisez vos requêtes pour renvoyer les valeurs spécifiques que vous souhaitez visualiser. Voici quelques exemples de requêtes et les graphiques résultants.

Alertes par gravité

Utilisez l’opérateur summarize pour obtenir un nombre numérique des valeurs que vous souhaitez graphiquer. La requête ci-dessous utilise l’opérateur summarize pour obtenir le nombre d’alertes par gravité.

AlertInfo
| summarize Total = count() by Severity

Lors du rendu des résultats, un histogramme affiche chaque valeur de gravité sous la forme d’une colonne distincte :

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Exemple de graphique qui affiche des résultats de chasse avancés dans le portail Microsoft Defender

E-mails d’hameçonnage dans les dix principaux domaines d’expéditeur

Si vous avez affaire à une liste de valeurs qui n’est pas finie, vous pouvez utiliser l’opérateur Top pour afficher uniquement les valeurs avec le plus d’instances. Par exemple, pour obtenir les 10 principaux domaines d’expéditeur avec le plus grand nombre d’e-mails de hameçonnage, utilisez la requête ci-dessous :

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Utilisez la vue graphique en secteurs pour afficher efficacement la distribution entre les domaines principaux :

Graphique à secteurs qui affiche les résultats avancés de la chasse dans le portail Microsoft Defender

Activités de fichier au fil du temps

À l’aide de l’opérateur summarize avec la bin() fonction , vous pouvez case activée pour les événements impliquant un indicateur particulier au fil du temps. La requête ci-dessous compte les événements impliquant le fichier invoice.doc à intervalles de 30 minutes pour afficher les pics d’activité liés à ce fichier :

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Le graphique en courbes ci-dessous met clairement en évidence les périodes avec plus d’activité impliquant invoice.doc:

Graphique en courbes qui affiche des résultats de chasse avancés dans le portail Microsoft Defender

Exporter des tables et des graphiques

Après avoir exécuté une requête, sélectionnez Exporter pour enregistrer les résultats dans un fichier local. La vue choisie détermine la façon dont les résultats sont exportés :

  • Vue Tableau : les résultats de la requête sont exportés sous forme tabulaire en tant que classeur Microsoft Excel
  • N’importe quel graphique : les résultats de la requête sont exportés sous la forme d’une image JPEG du graphique rendu

Filtrer les résultats

Après avoir exécuté une requête, sélectionnez Filtrer pour affiner les résultats.

Capture d’écran des filtres dans la chasse avancée.

Pour ajouter un filtre, sélectionnez les données pour lesquelles vous souhaitez filtrer en sélectionnant une ou plusieurs des zones case activée. Puis sélectionnez Ajouter.

Capture d’écran de la liste déroulante des filtres dans la chasse avancée.

Vous pouvez affiner encore davantage les résultats à des données spécifiques en sélectionnant le filtre qui vient d’être ajouté.

Capture d’écran de la nouvelle pilule de filtre dans la chasse avancée.

Une liste déroulante s’ouvre et affiche les filtres possibles que vous pouvez utiliser davantage. Sélectionnez une ou plusieurs zones case activée, puis sélectionnez Appliquer.

Capture d’écran de la liste déroulante du nouveau filtre dans la chasse avancée.

Vérifiez que vous avez ajouté les filtres souhaités en consultant la section Filtres.

Capture d’écran des filtres ajoutés à la chasse avancée.

Descendre dans les résultats de la requête

Vous pouvez également explorer les résultats en fonction des fonctionnalités suivantes :

  • Développez un résultat en sélectionnant la flèche déroulante à gauche de chaque résultat
  • Le cas échéant, développez les détails des résultats aux formats JSON et tableau en sélectionnant la flèche déroulante à gauche des noms de colonnes applicables pour plus de lisibilité
  • Ouvrez le volet latéral pour afficher les détails d’un enregistrement (en même temps que les lignes développées)

Capture d’écran de l’extension des résultats pour descendre dans la hiérarchie

Vous pouvez également cliquer avec le bouton droit sur n’importe quelle valeur de résultat dans une ligne afin de pouvoir l’utiliser pour ajouter des filtres à la requête existante ou copier la valeur pour une utilisation plus approfondie.

Capture d’écran des options lors d’un clic droit sur une option

En outre, pour les champs JSON et tableau, vous pouvez cliquer avec le bouton droit et mettre à jour la requête existante pour inclure ou exclure le champ, ou pour étendre le champ à une nouvelle colonne.

Capture d’écran des options lors d’un clic droit sur une option pour les champs JSON et tableau

Pour inspecter rapidement un enregistrement dans les résultats de votre requête, sélectionnez la ligne correspondante pour ouvrir le panneau Inspecter l’enregistrement . Le panneau fournit les informations suivantes en fonction de l’enregistrement sélectionné :

  • Ressources : vue résumée des ressources main (boîtes aux lettres, appareils et utilisateurs) trouvées dans l’enregistrement, enrichie d’informations disponibles, telles que les niveaux de risque et d’exposition
  • Tous les détails : toutes les valeurs des colonnes de l’enregistrement

Enregistrement sélectionné avec panneau pour l’inspection de l’enregistrement dans le portail Microsoft Defender

Pour afficher plus d’informations sur une entité spécifique dans les résultats de votre requête, comme un ordinateur, un fichier, un utilisateur, une adresse IP ou une URL, sélectionnez l’identificateur d’entité pour ouvrir une page de profil détaillée pour cette entité.

Adaptez vos requêtes à partir des résultats

Sélectionnez les trois points à droite d’une colonne dans le panneau Inspecter l’enregistrement . Vous pouvez utiliser les options suivantes pour :

  • Rechercher explicitement la valeur sélectionnée (==)
  • Exclure la valeur sélectionnée de la requête (!=)
  • Obtenir des opérateurs plus avancés pour ajouter la valeur à votre requête, tels que contains, starts withet ends with

Volet Type d’action de la page Inspecter l’enregistrement dans le portail Microsoft Defender

Remarque

Certaines tables de cet article peuvent ne pas être disponibles dans Microsoft Defender pour point de terminaison. Activez Microsoft Defender XDR pour rechercher les menaces à l’aide de sources de données supplémentaires. Vous pouvez déplacer vos flux de travail de chasse avancés de Microsoft Defender pour point de terminaison vers Microsoft Defender XDR en suivant les étapes décrites dans Migrer des requêtes de chasse avancées à partir de Microsoft Defender pour point de terminaison.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.