שתף באמצעות

מקד את השאילתה במצב מודרך

  • מאמר

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

השתמש בסוגי נתונים שונים

ציד מתקדם במצב מודרך תומך במספר סוגי נתונים שבהם תוכל להשתמש כדי לכוונן את השאילתה.

  • מספרים
    צילום מסך של מספרים כתוך שלישי

  • מחרוזות
    צילום מסך של מחרוזות כתנה שלישית

    בתיבת הטקסט ללא תשלום, הקלד את הערך והקש Enter כדי להוסיף אותו. שים לב כי המפריד בין הערכים הוא Enter.

    צילום מסך המציג תנאים שונים שבהם ניתן להשתמש

  • בוליאני
    צילום מסך של ערכים בוליאניים כתו התנאי השלישי

  • Datetime
    צילום מסך של ערכי תאריך/שעה כתנה שלישית

  • רשימה סגורה - אינך צריך לזכור את הערך המדויק שאתה מחפש. באפשרותך לבחור בקלות מתוך רשימה סגורה מוצעת התומכת בבחירות מרובות.
    צילום מסך של רשימה סגורה המשמשת כתנה שלישית

שימוש בקבוצות משנה

באפשרותך ליצור קבוצות של תנאים על-ידי לחיצה על הוסף קבוצת משנה:

צילום מסך המדגיש את לחצן 'הוסף קבוצת משנה'

צילום מסך המציג שימוש בקבוצות משנה

השלמה אוטומטית חכמה עבור חיפוש מכשירים וחשבונות משתמשים נתמכת. אינך צריך לזכור את מזהה המכשיר, את שם המכשיר המלא או את שם חשבון המשתמש. באפשרותך להתחיל להקליד את התווים הראשונים של המכשיר או המשתמש שאתה מחפש, ומופיעה רשימה מוצעת שממנה תוכל לבחור מה דרוש לך:

צילום מסך המציג תמיכה חכמה בהשלמה אוטומטית

להשתמש EventType

באפשרותך גם לחפש סוגי אירועים ספציפיים, כגון כל הכניסות שנכשלו, אירועי שינוי קבצים או חיבורי רשת מוצלחים באמצעות המסנן EventType בכל מקטע שבו הוא ישים.

לדוגמה, אם ברצונך להוסיף תנאי שמ מחפש מחיקות של ערכי רישום, באפשרותך לעבור למקטע אירועי רישום ולבחור EventType.

צילום מסך של סוגים שונים של EventTypes

בחירה באפשרות EventType תחת אירועי רישום מאפשרת לך לבחור מתוך אירועי רישום שונים, כולל האירוע שאתה מחפש, RegistryValueDeleted.

צילום מסך של EventType RegistryValueDeleted

הערה

EventType שווה ערך בסכימת ActionType הנתונים, שהמשתמשים במצב מתקדם עשויים להיות מוכרים יותר.

בדיקת השאילתה עם גודל דוגמה קטן יותר

אם אתה עדיין עובד על השאילתה וברצונך לראות את הביצועים שלה ומספר תוצאות לדוגמה במהירות, התאם את מספר הרשומות להחזרה על-ידי בחירת ערכה קטנה יותר דרך התפריט הנפתח גודל לדוגמה.

צילום מסך של התפריט הנפתח 'גודל לדוגמה'

גודל המדגם מוגדר ל- 10,000 תוצאות כברירת מחדל. זהו המספר המרבי של רשומות שניתן להחזיר לציד. עם זאת, אנו ממליצים מאוד להוריד את גודל המדגם ל- 10 או 100 כדי לבדוק במהירות את השאילתה שלך, כך שצורכת פחות משאבים בזמן שאתה עדיין עובד על שיפור השאילתה.

לאחר מכן, לאחר השלמת השאילתה ואתה מוכן להשתמש בה כדי לקבל את כל התוצאות הרלוונטיות עבור פעילות הציד שלך, ודא שגודל המדגם מוגדר ל- 10,000, המקסימום.

מעבר למצב מתקדם לאחר בניית שאילתה

באפשרותך ללחוץ על ערוך ב- KQL כדי להציג את השאילתה KQL שנוצרה על-ידי התנאים שבחרת. עריכה ב- KQL פותחת כרטיסיה חדשה במצב מתקדם, עם שאילתת KQL המתאימה:

צילום מסך המדגיש את לחצן 'ערוך ב- KQL'

צילום מסך המציג את אותה שאילתה ממדריך למתקדמים

בדוגמה שלעיל, התצוגה שנבחרה היא הכל, לכן באפשרותך לראות ששאילתת ה- KQL מחפש בכל הטבלאות הכוללות מאפייני קובץ של שם ו- SHA256, ובכלל העמודות הרלוונטיות המכסות מאפיינים אלה.

אם תשנה את התצוגה להודעות דואר & פעולה, השאילתה תצטמצם ל:

צילום מסך המציג את אותה שאילתה ממדריך למתקדמים אך עם תחום מוגבל

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.