שתף באמצעות

קבל הדרכה מקצועית לגבי ציד מתקדם

  • מאמר

חל על:

  • Microsoft Defender XDR

שפר את הידע שלך לגבי ציד מתקדם במהירות באמצעות מעקב אחר תואר הפועל, סדרת שידורי אינטרנט עבור אנליסטי אבטחה חדשים וציידי איומים תונים. הסידרה מנחה אותך לאורך היסודות עד ליצירת שאילתות מתוחכמות משלך. התחל עם סרטון הווידאו הראשון על יסודות או דלג לסרטוני וידאו מתקדמים יותר המתאימים לרמת החוויה שלך.

Title תיאור צפייה שאילתות
פרק 1: יסודות KQL פרק זה מכסה את היסודות של ציד מתקדם Microsoft Defender XDR. למד אודות נתוני ציד מתקדמים זמינים ותחביר בסיסי של KQL ות אופרטורים. יוטיוב (54:14) קובץ טקסט
פרק 2: צירופים המשך ללמוד על נתונים בשלבי ציד מתקדמים וכיצד לצרף טבלאות יחד. קבל מידע innerעל , outer, unique, וצירוף semi , והבנה את הנואנסים של הצטרפות Kusto המהווה ברירת innerunique מחדל. יוטיוב (53:33) קובץ טקסט
פרק 3: סיכום, סידור בטבלת ציר ומחשה של נתונים כעת, לאחר שלמדת לסנן נתונים, לטפל בהם ולהצטרף לנתונים, הגיע הזמן לסכם, לכמת, להגדיר ציר ולהמחיש אותם באופן חזותי. פרק זה דן באופרטור summarize וחישובים שונים, תוך הצגת טבלאות נוספות בסכימה. תלמד גם להפוך ערכות נתונים לתרשימים שיעזרו לך לחלץ תובנות. יוטיוב (48:52) קובץ טקסט
פרק 4: בוא נצוד! החלת KQL על מעקב אחר אירועים בפרק זה, תלמדו לעקוב אחר פעילות תוקף מסוימת. אנחנו משתמשים בהבנה משופרת של קוסטו והצייד המתקדם כדי לעקוב אחר התקפה. למד טריקים בפועל שנמצאים בשימוש בשדה, כולל ה- ABCs של אבטחת סייבר וכיצד להחיל אותם על תגובה לתקריות. יוטיוב (59:36) קובץ טקסט

קבל הכשרה מומחים L33TSP3AK: ציד מתקדם ב- Microsoft Defender XDR, סדרת שידורי אינטרנט לאנליסטים ה מחפשים להרחיב את הידע הטכני ואת הכישורים המעשיים שלהם בביצוע חקירות אבטחה באמצעות ציד מתקדם Microsoft Defender XDR.

Title תיאור צפייה שאילתות
פרק 1 בפרק זה, תלמדו שיטות עבודה מומלצות שונות בהפעלת שאילתות ציד מתקדמות. בין הנושאים הכלולים: כיצד למטב את השאילתות שלך, להשתמש בחיפוש מתקדם עבור תוכנת כופר, לטפל ב- JSON כסוג דינאמי ולעבוד עם אופרטורים של נתונים חיצוניים. יוטיוב (56:34) קובץ טקסט
--עונה 2 פרק 2 בפרק זה, תלמד כיצד לחקור מיקומי כניסה ונתונים חשודים או חריגים ולהגיב בהם באמצעות כללי העברה של תיבת דואר נכנס. סבסטיאן מולנדייק, מנהל תוכנית בכיר לאבטחת ענן CxE, משתף כיצד להשתמש בחיפוש מתקדם כדי לחקור אירועים מרובי שלבים יישומי ענן של Microsoft Defender נתונים. יוטיוב (57:07) קובץ טקסט
--עונה 3, פרק 3 בפרק זה, נסביר את השיפורים האחרונים לציד מתקדם, כיצד לייבא מקור נתונים חיצוני לשאילתה שלך וכיצד להשתמש בחלוקה למחיצות כדי לחלק תוצאות שאילתה גדולות לערכות תוצאות קטנות יותר כדי להימנע מפגיעה במגבלות API. YouTube (40:59) קובץ טקסט

כיצד להשתמש בקובץ ה- CSL

לפני שתתחיל פרק, גש לקובץ הטקסט המתאים ב- GitHub והעתק את תוכנו לעורך מתקדם של שאילתות הציד. בזמן שאתה צופה בפרק, באפשרותך להשתמש בתוכן שהועתק כדי לעקוב אחר הרמקול ולהפעיל שאילתות.

הסעיף הבא מתוך קובץ טקסט המכיל את השאילתות מציג ערכה מקיפה של הדרכה המסומנת כהערות עם //.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

אותו קובץ טקסט כולל שאילתות לפני ואחרי ההערות, כפי שמוצג להלן. כדי להפעיל שאילתה ספציפית עם שאילתות מרובות בעורך, העבר את הסמן לשאילתה זו ובחר הפעל שאילתה.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

משאבים אחרים

Title תיאור צפייה
צירוף טבלאות ב- KQL למד את העוצמה של צירוף טבלאות ביצירת תוצאות בעלות משמעות. YouTube (4:17)
מיטוב טבלאות ב- KQL למד כיצד למנוע זמן קצוב בעת הפעלת שאילתות מורכבות על-ידי מיטוב השאילתות שלך. YouTube (5:38)

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.