שתף באמצעות

חפש במהירות אחר מידע אודות ישות או אירוע באמצעות go hunt

  • מאמר

חל על:

  • Microsoft Defender XDR

בעזרת פעולת החיפוש, באפשרותך לחקור במהירות אירועים וסוגי ישות שונים באמצעות יכולות ציד מתקדמות המבוססות על שאילתות רבות-עוצמה. פעולה זו מפעילה באופן אוטומטי שאילתת ציד מתקדמת כדי למצוא מידע רלוונטי אודות האירוע או הישות שנבחרו.

פעולת הציד go זמינה במקטעים שונים של Microsoft Defender XDR. פעולה זו זמינה להצגה לאחר הצגת פרטי אירוע או ישות. לדוגמה, באפשרותך להשתמש באפשרות go hunt מהסעיפים הבאים:

  • בדף האירוע , באפשרותך לסקור פרטים אודות משתמשים, מכשירים וישויות רבות אחרות המשויכות לתקרית. בעת בחירת ישות, אתה מקבל מידע נוסף ואת הפעולות השונות שניתן לבצע בישות זו. בדוגמה שלהלן, נבחרת תיבת דואר המציגה פרטים אודות תיבת הדואר ואת האפשרות לחפש מידע נוסף אודות תיבת הדואר.

    הדף 'תיבות דואר' עם האפשרות 'בצע צייד' Microsoft Defender הפורטל

  • בדף האירוע, באפשרותך גם לגשת לרשימת ישויות תחת הכרטיסיה ' ראיות '. בחירה באחת מישויות אלה מאפשרת לחפש במהירות מידע אודות ישות זו.

    האפשרות 'חפש בדרכים' אחר פיסת ראיה בדף 'אירוע' Microsoft Defender הפורטל

  • בעת הצגת ציר הזמן עבור מכשיר, באפשרותך לבחור אירוע בציר הזמן כדי להציג מידע נוסף אודות אירוע זה. לאחר בחירת אירוע, אתה מקבל את האפשרות לחפש אירועים רלוונטיים אחרים בחיפוש מתקדם.

    האפשרות 'חפש אירועים קשורים' בדף של אירוע בכרטיסיה 'צירי זמן' Microsoft Defender הפורטל

בחירת Go hunt או Hunt for related events עוברת שאילתות שונות, בהתאם לשאלה אם בחרת ישות או אירוע.

שאילתה עבור מידע אודות ישות

באפשרותך להשתמש בחיפוש כדי לחפש מידע אודות משתמש, מכשיר או כל סוג אחר של ישות; השאילתה בודקת את כל טבלאות הסכימה הרלוונטיות אם קיימים אירועים הקשורים לישות זו כדי להחזיר מידע. כדי לשמור על ניהול התוצאות, השאילתה היא:

  • בטווח סביב אותה תקופת זמן כמו הפעילות המוקדמת ביותר ב- 30 הימים האחרונים הכרוכה בישות
  • המשויכת לתקרית.

להלן דוגמה לשאילתת החיפוש אחר מכשיר:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

סוגי ישות נתמכים

באפשרותך להשתמש באפשרות go hunt לאחר בחירת אחד מסוגי הישות הבאים:

  • התקנים
  • אשכולות דואר אלקטרוני
  • מיילים
  • קבצים
  • קבוצות
  • כתובות IP
  • תיבות דואר
  • משתמשים
  • כתובות url

שאילתה לקבלת מידע אודות אירוע

בעת שימוש ב- go hunt כדי לחפש מידע אודות אירוע בציר הזמן, השאילתה בודקת את כל טבלאות הסכימה הרלוונטיות עבור אירועים אחרים סביב מועד האירוע שנבחר. לדוגמה, השאילתה הבאה מפרטת אירועים בטבלאות סכימה שונות שהתרחשו סביב אותה תקופת זמן באותו מכשיר:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

התאמת השאילתה

בעזרת מידע תואם לשפת השאילתה, באפשרותך להתאים את השאילתה בהתאם להעדפתך. לדוגמה, באפשרותך להתאים קו זה, הקובע את גודל חלון הזמן:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

בנוסף לשינוי השאילתה כדי לקבל תוצאות רלוונטיות יותר, באפשרותך גם:

הערה

ייתכן שטבלאות מסוימות במאמר זה לא יהיו זמינות Microsoft Defender עבור נקודת קצה. הפעל Microsoft Defender XDR לחפש איומים באמצעות מקורות נתונים נוספים. באפשרותך להעביר את זרימות העבודה המתקדמות שלך Microsoft Defender עבור נקודת קצה ל- Microsoft Defender XDR על-ידי ביצוע השלבים במאמר העברת שאילתות ציד מתקדמות Microsoft Defender עבור נקודת קצה.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.