למד את שפת שאילתת הציד המתקדמות

מאמר
10/18/2024
חל על:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

ציד מתקדם מבוסס על שפת השאילתה Kusto. באפשרותך להשתמש באופרטורים וב משפטי Kusto כדי לבנות שאילתות המאתרות מידע בסכימה מיוחדת.

צפה בסרטון וידאו קצר זה כדי ללמוד כמה יסודות שימושיים לשפת השאילתות של Kusto.

כדי להבין מושגים אלה טוב יותר, הפעל את השאילתה הראשונה שלך.

נסה את השאילתה הראשונה שלך

בפורטל Microsoft Defender, עבור אל ציד כדי להפעיל את השאילתה הראשונה שלך. השתמש בדוגמה הבאה:

// Finds PowerShell execution events that could involve a download
union DeviceProcessEvents, DeviceNetworkEvents
| where Timestamp > ago(7d)
// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")
// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
 "DownloadFile",
 "DownloadData",
 "DownloadString",
"WebRequest",
"Shellcode",
"http",
"https")
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp

הפעל שאילתה זו בחיפוש מתקדם

תאר את השאילתה וציין את הטבלאות לחיפוש

הערה קצרה נוספה לתחילת השאילתה כדי לתאר למה היא מיועדת. הערה זו עוזרת אם תחליט מאוחר יותר לשמור את השאילתה ולשתף אותה עם אנשים אחרים בארגון שלך.

// Finds PowerShell execution events that could involve a download

השאילתה עצמה תתחיל בדרך כלל בשם טבלה ואחריה מספר רכיבים ה מתחילים ב- Pipe (|). בדוגמה זו, אנו מתחילים ביצירת איחוד של שתי טבלאות, ו- DeviceProcessEventsDeviceNetworkEvents, והוספת רכיבי Pipe לפי הצורך.

union DeviceProcessEvents, DeviceNetworkEvents

הגדרת טווח הזמן

הרכיב הראשון עם צינור הוא מסנן זמן המסוכם לשבעה הימים הקודמים. הגבלת טווח הזמן עוזרת להבטיח ששאילתות יתנהלו כראוי, יחזירו תוצאות ניתנות לניהול ולא תם הזמן קצוב.

| where Timestamp > ago(7d)

הערה

מסנני הזמן של Kusto נמצאים ב- UTC ללא קשר אזור הזמן שציינת בהגדרות שלך.

בדוק תהליכים ספציפיים

לאחר טווח הזמן מופיע חיפוש אחר שמות קבצי תהליך המייצגים את יישום PowerShell.

// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")

חיפוש מחרוזות פקודה ספציפיות

לאחר מכן, השאילתה חפש מחרוזות בשורות פקודה המשמשות בדרך כלל להורדת קבצים באמצעות PowerShell.

// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
    "DownloadFile",
    "DownloadData",
    "DownloadString",
    "WebRequest",
    "Shellcode",
    "http",
    "https")

התאמה אישית של עמודות ואורך של תוצאות

כעת, לאחר שהשאילתה מזהה בבירור את הנתונים שברצונך לאתר, באפשרותך להגדיר כיצד ייראו התוצאות. project מחזירה עמודות ספציפיות ומגבילה top את מספר התוצאות. אופרטורים אלה עוזרים להבטיח שהתוצאות מעוצבות היטב ו גדולות באופן סביר וקלות לעיבוד.

| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp

בחר הפעל שאילתה כדי לראות את התוצאות.

עצה

באפשרותך להציג תוצאות שאילתה כתרשימים ולהתאים במהירות מסננים. לקבלת הדרכה, קרא אודות עבודה עם תוצאות שאילתה

למד אופרטורים נפוצים של שאילתות

הפעלת את השאילתה הראשונה שלך זה עתה ויש לך מושג כללי לגבי הרכיבים שלה. הגיע הזמן לחזור אחורה וללמוד כמה פרטים בסיסיים. שפת השאילתה Kusto המשמשת ציד מתקדם תומכת במגוון אופרטורים, כולל האופרטורים הנפוצים הבאים.

מרכזיה	תיאור ושימוש
`where`	סנן טבלה לפי קבוצת המשנה של השורות התואמות לפידיקאט.
`summarize`	הפק טבלה שצוברת את התוכן של טבלת הקלט.
`join`	מזג את השורות של שתי טבלאות כדי ליצור טבלה חדשה על-ידי התאמת הערכים של העמודות שצוינו מכל טבלה. צפה בצירוף טבלאות ב- KQL כדי ללמוד כיצד לעשות זאת.
`count`	החזרת מספר הרשומות בערכת רשומות הקלט.
`top`	החזרת רשומות ה- N הראשונות ממוינות לפי העמודות שצוינו.
`limit`	חזור למספר השורות שצוין.
`project`	בחר את העמודות שברצונך לכלול, לשנות את שמם או לבטלן ולהוסיף עמודות מחושבות חדשות.
`extend`	צור עמודות מחושבות וצור אותן לערכת התוצאות.
`makeset`	החזר מערך דינאמי (JSON) של קבוצת הערכים הייחודיים ש- Expr מקבל בקבוצה.
`find`	חפש שורות התואמות לפידיקאט על-פני קבוצת טבלאות.

כדי לראות דוגמה חיה של אופרטורים אלה, הפעל אותם במקטע תחילת העבודה בחיפוש מתקדם.

הכרת סוגי נתונים

ציד מתקדם תומך בסוגי נתונים של Kusto, כולל הסוגים הנפוצים הבאים:

סוג נתונים	השלכות תיאור והשאילתה
`datetime`	מידע אודות נתונים וזמן המייצג בדרך כלל חותמות זמן של אירוע. ראה תבניות תאריך/שעה נתמכות
`string`	מחרוזת תווים ב- UTF-8 מוקפת במרכאות בודדות (`'`) או במרכאות כפולות (`"`). קרא עוד אודות מחרוזות
`bool`	סוג נתונים זה תומך או `true` במצבים `false` . ראה ליטרל אופרטורים נתמכים
`int`	מספר שלם של 32 סיביות
`long`	מספר שלם של 64 סיביות

לקבלת מידע נוסף אודות סוגי נתונים אלה, קרא אודות סוגי נתונים סקאריים של Kusto.

קבלת עזרה בעת כתיבת שאילתות

נצל את הפונקציונליות הבאה כדי לכתוב שאילתות מהר יותר:

הצעות אוטומטיות - בעת כתיבת שאילתות, ציד מתקדם מספק הצעות מ- IntelliSense.
עץ סכימה - ייצוג סכימה הכולל את רשימת הטבלאות והעמודות שלהן מופיע לצד אזור העבודה שלך. לקבלת מידע נוסף, רחף מעל פריט. לחץ פעמיים על פריט כדי להוסיף אותו לעורך השאילתות.
חומר עזר בנושא סכימה - הפניה בתוך הפורטל עם תיאורי טבלה ועמודה וכן סוגי אירועים נתמכים (ActionType ערכים) ושאילתות לדוגמה

עבודה עם שאילתות מרובות בעורך

באפשרותך להשתמש בעורך השאילתות כדי להתנסות בשאילתות מרובות. כדי להשתמש בשאילתות מרובות:

הפרד כל שאילתה באמצעות שורה ריקה.
מקם את הסמן בחלק כלשהו של שאילתה כדי לבחור שאילתה זו לפני הפעלתה. פעולה זו מפעילה רק את השאילתה שנבחרה. כדי להפעיל שאילתה אחרת, הזז את הסמן בהתאם ובחר הפעל שאילתה.

עבור סביבת עבודה יעילה יותר, באפשרותך גם להשתמש בכרטיסיות מרובות באותו דף ציד. בחר שאילתה חדשה כדי לפתוח כרטיסיה עבור השאילתה החדשה.

לאחר מכן תוכל להפעיל שאילתות שונות מבלי לפתוח כרטיסיית דפדפן חדשה.

הערה

שימוש בכרטיסיות דפדפן מרובות עם ציד מתקדם עלול לגרום לך לאבד את השאילתות שלא נשמרו. כדי למנוע זאת, השתמש בתכונת הכרטיסיה בתוך ציד מתקדם במקום בכרטיסיות דפדפן נפרדות.

שימוש בשאילתות לדוגמה

המקטע תחילת העבודה מספק כמה שאילתות פשוטות המשתמשות באופרטורים נפוצים. נסה להפעיל שאילתות אלה ולבצע בהן שינויים קטנים.

הערה

מלבד דוגמאות השאילתה הבסיסיות, באפשרותך גם לגשת לשאילתות משותפות עבור תרחישי ציד איומים ספציפיים. סייר בשאילתות המשותפות בצד הימני של הדף או במאגר השאילתות של GitHub.

תיעוד של שפת השאילתות ב- Access

לקבלת מידע נוסף אודות שפת השאילתה Kusto והמפעילים הנתמכים, ראה תיעוד של שפת השאילתות Kusto.

הערה

ייתכן שטבלאות מסוימות במאמר זה לא יהיו זמינות Microsoft Defender עבור נקודת קצה. הפעל Microsoft Defender XDR לחפש איומים באמצעות מקורות נתונים נוספים. באפשרותך להעביר את זרימות העבודה המתקדמות שלך Microsoft Defender עבור נקודת קצה ל- Microsoft Defender XDR על-ידי ביצוע השלבים במאמר העברת שאילתות ציד מתקדמות Microsoft Defender עבור נקודת קצה.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

שתף באמצעות

למד את שפת שאילתת הציד המתקדמות

נסה את השאילתה הראשונה שלך

תאר את השאילתה וציין את הטבלאות לחיפוש

הגדרת טווח הזמן

בדוק תהליכים ספציפיים

חיפוש מחרוזות פקודה ספציפיות

התאמה אישית של עמודות ואורך של תוצאות

למד אופרטורים נפוצים של שאילתות

הכרת סוגי נתונים

קבלת עזרה בעת כתיבת שאילתות

עבודה עם שאילתות מרובות בעורך

שימוש בשאילתות לדוגמה

תיעוד של שפת השאילתות ב- Access

משוב

משאבים נוספים

שתף באמצעות

למד את שפת שאילתת הציד המתקדמות

נסה את השאילתה הראשונה שלך

תאר את השאילתה וציין את הטבלאות לחיפוש

הגדרת טווח הזמן

בדוק תהליכים ספציפיים

חיפוש מחרוזות פקודה ספציפיות

התאמה אישית של עמודות ואורך של תוצאות

למד אופרטורים נפוצים של שאילתות

הכרת סוגי נתונים

קבלת עזרה בעת כתיבת שאילתות

עבודה עם שאילתות מרובות בעורך

שימוש בשאילתות לדוגמה

תיעוד של שפת השאילתות ב- Access

נושאים קשורים

משוב

משאבים נוספים