בניית שאילתות ציד באמצעות מצב Microsoft Defender
חל על:
- Microsoft Defender XDR
חשוב
חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.
בונה השאילתות במצב מודרך מאפשר לאנליסטים ליצור שאילתות ציד בעלות משמעות מבלי לדעת את שפת השאילתות של Kusto (KQL) או את סכימת הנתונים. אנליסטים מכל רמה של ניסיון יכולים להשתמש בבונה השאילתות כדי לסנן נתונים מ- 30 הימים האחרונים כדי לחפש איומים, להרחיב חקירות מקריות, לבצע ניתוח נתונים על נתוני איומים או להתמקד באזורי איומים ספציפיים.
האנליסטים יכולים לבחור את ערכת הנתונים שבה יש להזין את המידע ואת המסננים והתנאים שבהם יש להשתמש כדי לצמצם את הנתונים למה שהם צריכים.
באפשרותך לצפות בסרטון וידאו זה כדי לקבל מבט כולל על ציד מודרך:
פתיחת שאילתה בבונה
בדף ציד מתקדם, בחר צור חדש כדי לפתוח כרטיסיית שאילתה חדשה ובחר שאילתה בבונה.
פעולה זו מביאה אותך למצב המונחה, שבו תוכל לבנות את השאילתה על-ידי בחירת רכיבים שונים באמצעות תפריטים נפתחים.
ציין את תחום הנתונים שבו יש לחפש
באפשרותך לשלוט בטווח החיפוש על-ידי בחירת התחום שהשאילתה מכסה:
בחירה באפשרות הכל כוללת נתונים מכל התחומים שיש לך כעת גישה אליהם. צמצום לתחום ספציפי מאפשר מסננים הרלוונטיים לתחום זה בלבד.
באפשרותך לבחור מבין:
- כל התחומים - כדי לעיין בכל הנתונים הזמינים בשאילתה.
- נקודות קצה - כדי לחפש נתוני נקודת קצה כפי שסופקו על-ידי Microsoft Defender עבור נקודת קצה.
- דואר אלקטרוני ושיתוף פעולה - כדי לעיין בענן של אפליקציות דואר אלקטרוני ושיתוף פעולה, כגון SharePoint, OneDrive ואחרים; משתמשים המוכרים ל- Threat Explorer יכולים למצוא את אותם נתונים כאן.
- אפליקציות וזהויות - כדי לעיין נתוני אפליקציות וזהות כפי שסופקו על-ידי יישומי ענן של Microsoft Defender ו- Microsoft Defender עבור זהות; משתמשים המוכרים ליומן הפעילות יכולים למצוא את אותם נתונים כאן.
- תשתית ענן - כדי בחן את נתוני תשתית הענן כפי שמסופק Microsoft Defender עבור Cloud.
- ניהול חשיפה - כדי בחן את נתוני ניהול החשיפה כפי ניהול חשיפה לפגיעויות אבטחה ב-Microsoft.
שימוש במסננים בסיסיים
כברירת מחדל, ציד מודרך כולל כמה מסננים בסיסיים כדי להתחיל בעבודה במהירות.
בעת בחירת מקור נתונים אחד, לדוגמה, נקודות קצה, בונה השאילתות מציג רק את קבוצות המסננים הישימות. לאחר מכן תוכל לבחור מסנן שברצונך לצמצם על-ידי בחירת קבוצת סינון זו, לדוגמה, EventType ובחירה במסנן שתבחר.
לאחר שהשאילתה מוכנה, בחר בלחצן הכחול הפעל שאילתה . אם הלחצן מופיע באפור מעומעם, יש למלא או לערוך את השאילתה עוד יותר.
הערה
תצוגת המסנן הבסיסית משתמשת באופרטור AND בלבד, כלומר הפעלת השאילתה יוצרת תוצאות שעבורן כל המסננים של הערכה הם True.
טעינת שאילתות לדוגמה
דרך מהירה נוספת להכיר ציד מודרך היא לטעון שאילתות לדוגמה באמצעות התפריט הנפתח 'טען שאילתות לדוגמה'.
הערה
בחירת שאילתה לדוגמה עוקפת את השאילתה הקיימת.
לאחר שהשאילתה לדוגמה נטענת, בחר הפעל שאילתה.
אם בחרת בעבר תחום, רשימת השאילתות לדוגמה הזמינות משתנה בהתאם.
כדי לשחזר את הרשימה המלאה של שאילתות לדוגמה, בחר כל התחומים ולאחר מכן פתח מחדש את טען שאילתות לדוגמה.
אם השאילתה לדוגמה שנטען משתמשת במסננים מחוץ לערכת המסננים הבסיסית, הלחצן הדו-מצבי מופיע באפור. כדי לחזור לערכת המסננים הבסיסית, בחר נקה הכל ולאחר מכן החלף את המצב כל המסננים.
שימוש במסננים נוספים
כדי להציג קבוצות נוספות של מסננים ותנאים, בחר החלף מצב כדי לראות מסננים ותנאים נוספים.
כאשר הלחצן הדו-מצבי כל המסננים פעיל, כעת באפשרותך להשתמש בטווח המלא של המסננים והתנאים במצב מודרך.
יצירת תנאים
כדי לציין ערכת נתונים שתשמש בשאילתה, בחר בחר מסנן. עיין במקטעי הסינון השונים כדי לגלות מה זמין עבורך.
הקלד את כותרות המקטעים בתיבת החיפוש בראש הרשימה כדי למצוא את המסנן. מקטעים המסתיימים במידע מכילים מסננים המספקים מידע אודות הרכיבים השונים שניתן לעיין שבהם ומסננים עבור מצבים של ישויות. מקטעים המסתיימים באירועים מכילים מסננים המאפשרים לך לחפש כל אירוע המנווטר בישות. לדוגמה, כדי לחפש פעילויות הכוללות מכשירים מסוימים, באפשרותך להשתמש במסננים תחת המקטע אירועי מכשיר.
הערה
בחירת מסנן שאינו מופיע ברשימת המסננים הבסיסית מבטלת את ההפעלה או מאפורה את הלחצן הדו-מצבי כדי לחזור לתצוגת המסננים הבסיסית. כדי לאפס את השאילתה או להסיר מסננים קיימים בשאילתה הנוכחית, בחר נקה הכל. פעולה זו גם מבצעת הפעלה מחדש של רשימת המסננים הבסיסיים.
לאחר מכן, הגדר את התנאי המתאים לסינון הנתונים עוד יותר על-ידי בחירתם מהתפריט הנפתח השני ומתן ערכים בתפריט הנפתח השלישי במידת הצורך:
באפשרותך להוסיף תנאים נוספים לשאילתה באמצעות תנאי AND ו - OR . הפונקציה AND מחזירה תוצאות הממלאות את כל התנאים בשאילתה, בעוד ש- OR מחזירה תוצאות הממלאות את כל התנאים בשאילתה.
מיקוד השאילתה מאפשר לך לבצע סינון אוטומטי באמצעות רשומות וולומיות כדי ליצור רשימת תוצאות שכבר מיועדת לצורך ציד האיומים הספציפי שלך.
כדי לדעת אילו סוגי נתונים נתמכים ויכולות אחרות של מצב מודרך שיעזרו לך לכוונן את השאילתה, קרא את מקד את השאילתה במצב מודרך.
נסה הדרבי שאילתה לדוגמה
דרך נוספת להכיר את הציד המונחה היא לטעון שאילתות לדוגמה שנוצרו מראש במצב מודרך.
במקטע תחילת העבודה של דף הציד, סיפקנו שלוש דוגמאות לשאילתה המונחית שניתן לטעון. דוגמאות השאילתה מכילות כמה מהמסנן והקלט הנפוצים ביותר שתדרוש בדרך כלל לציד. טעינת כל אחת משלוש השאילתות לדוגמה פותחת סיור מודרך של אופן בניית הערך באמצעות מצב מודרך.
בצע את ההוראות בבועות הלימוד הכחולות כדי לבנות את השאילתה שלך. בחר הפעל שאילתה.
נסה שאילתות מסוימות
חפש חיבורים מוצלחים ל- IP ספציפי
כדי לחפש אחר תקשורת רשת מוצלחת לכתובת IP ספציפית, התחל להקליד "ip" כדי לקבל מסננים מוצעים:
כדי לחפש אירועים הכוללים כתובת IP ספציפית שבה ה- IP הוא יעד התקשורת, בחר DestinationIPAddress
תחת המקטע אירועי כתובת IP. לאחר מכן בחר את האופרטור שווה . הקלד את כתובת ה- IP בתפריט הנפתח השלישי והקש Enter:
לאחר מכן, כדי להוסיף תנאי שני שבו אתה מחפש אירועי תקשורת רשת מוצלחים, חפש את המסנן של סוג אירוע ספציפי:
מסנן EventType מחפש את סוגי האירועים השונים שנרשם. היא מקבילה לעמודה ActionType , שאינה קיימת ברוב הטבלאות הנמצאות בשלבי ציד מתקדמים. בחר אותו כדי לבחור סוג אירוע אחד או יותר לסינון. כדי לחפש אירועי תקשורת רשת מוצלחים, הרחב את המקטע DeviceNetworkEvents ולאחר מכן בחר ConnectionSuccess
:
לבסוף, בחר הפעל שאילתה כדי לחפש את כל תקשורת הרשת המוצלחת לכתובת ה- IP 52.168.117.170:
חפש הודעות דיוג או הודעות זבל בביטחון גבוה הנמסרות לתיבת הדואר הנכנס
כדי לחפש את כל הודעות הדואר האלקטרוני של דיוג כדואר זבל בביטחון גבוה שהועברו לתיקיה 'תיבת דואר נכנס' בעת המסירה, תחילה בחר ConfidenceLevel תחת אירועי דואר אלקטרוני, בחר שווה ובחר גבוה תחת דיוג והודעות זבל מהרשימה הסגורה המוצעת התומכת בבחירות מרובות:
לאחר מכן, הוסף תנאי נוסף, הפעם ציין את התיקיה או DeliveryLocation, תיבת דואר נכנס/תיקיה.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.