דוגמה מתקדמת לציד עבור Microsoft Defender עבור Office 365
חל על:
- Microsoft Defender XDR
רוצה להתחיל בחיפוש אחר איומי דואר אלקטרוני באמצעות ציד מתקדם? נסה את השלבים הבאים:
מדריך Microsoft Defender עבור Office 365 מסביר כיצד לדלג ישירות ולקבל את קביעת התצורה ביום 1.
בהתאם למדיניות האבטחה הקבועה מראש שלך לעומת אפשרויות מדיניות מותאמות אישית, חשוב לדעת אם הודעה זדונית הוסרה מתיבת דואר לאחר המסירה.
ניווט מהיר לשפת השאילתות Kusto כדי לחפש בעיות הוא יתרון של איחוד שני מרכזי אבטחה אלה. צוותי אבטחה יכולים לעקוב אחר שגיאות ZAP על-ידי נקיטת הצעדים הבאים שלהם בפורטל Microsoft Defender של https://security.microsoft.com>Hunting>Advanced Hunting.
בדף Advanced Hunting ב - https://security.microsoft.com/v2/advanced-hunting, ודא שהכרטיסיה שאילתה חדשה נבחרה.
העתק את השאילתה הבאה לתיבה שאילתה :
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonTypeבחר הפעל שאילתה.
הנתונים מהשאילתה מופיעים בחלונית 'תוצאות ' מתחת לשאילתה עצמה. התוצאות כוללות מידע כגון DeviceName, AccountDisplayName, ובערכת ZapTime תוצאות הניתנת להתאמה אישית. ניתן לייצא תוצאות גם עבור הרשומות שלך. כדי לשמור את השאילתה לעשות שימוש חוזר, > בחר שמור שמירהבשם כדי להוסיף את השאילתה לרשימת השאילתות, השאילתות המשותפות או שאילתות הקהילה שלך.
מידע קשור
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.