שתף באמצעות


דוגמה מתקדמת לציד עבור Microsoft Defender עבור Office 365

חל על:

  • Microsoft Defender XDR

רוצה להתחיל בחיפוש אחר איומי דואר אלקטרוני באמצעות ציד מתקדם? נסה את השלבים הבאים:

מדריך Microsoft Defender עבור Office 365 מסביר כיצד לדלג ישירות ולקבל את קביעת התצורה ביום 1.

בהתאם למדיניות האבטחה הקבועה מראש שלך לעומת אפשרויות מדיניות מותאמות אישית, חשוב לדעת אם הודעה זדונית הוסרה מתיבת דואר לאחר המסירה.

ניווט מהיר לשפת השאילתות Kusto כדי לחפש בעיות הוא יתרון של איחוד שני מרכזי אבטחה אלה. צוותי אבטחה יכולים לעקוב אחר שגיאות ZAP על-ידי נקיטת הצעדים הבאים שלהם בפורטל Microsoft Defender של https://security.microsoft.com>Hunting>Advanced Hunting.

  1. בדף Advanced Hunting ב - https://security.microsoft.com/v2/advanced-hunting, ודא שהכרטיסיה שאילתה חדשה נבחרה.

  2. העתק את השאילתה הבאה לתיבה שאילתה :

    EmailPostDeliveryEvents 
    | where Timestamp > ago(7d)
    //List malicious emails that were not zapped successfully
    | where ActionType has "ZAP" and ActionResult == "Error"
    | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
    //Get logon activity of recipients using RecipientEmailAddress and AccountUpn
    | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
    | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
    //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
    | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
    LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
    
  3. בחר הפעל שאילתה.

דף הציד מתקדם (תחת ציד) עם שאילתה שנבחרה בחלק העליון של לוח השאילתה והפעלת שאילתת Kusto כדי ללכוד פעולות ZAP בשבעת הימים האחרונים.

הנתונים מהשאילתה מופיעים בחלונית 'תוצאות ' מתחת לשאילתה עצמה. התוצאות כוללות מידע כגון DeviceName, AccountDisplayName, ובערכת ZapTime תוצאות הניתנת להתאמה אישית. ניתן לייצא תוצאות גם עבור הרשומות שלך. כדי לשמור את השאילתה לעשות שימוש חוזר, > בחר שמור שמירהבשם כדי להוסיף את השאילתה לרשימת השאילתות, השאילתות המשותפות או שאילתות הקהילה שלך.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.