שתף באמצעות

עבודה עם תוצאות מתקדמות של שאילתת ציד

  • מאמר

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

למרות שבאפשרותך לבנות את שאילתות הציד המתקדמות שלך כדי להחזיר מידע מדויק, באפשרותך גם לעבוד עם תוצאות השאילתה כדי לקבל תובנות נוספות ולחקור פעילויות ומחוונים ספציפיים. באפשרותך לבצע את הפעולות הבאות בתוצאות השאילתה שלך:

  • הצגת תוצאות כטבלה או כתרשים
  • ייצוא טבלאות ותרשימים
  • הסתעפות לפרטים מפורטים אודות הישות
  • שנה את השאילתות שלך ישירות מהתוצאות

הצגת תוצאות שאילתה כטבלה או כתרשים

כברירת מחדל, ציד מתקדם מציג תוצאות שאילתה כנתונים טבלאיים. באפשרותך גם להציג את אותם נתונים כמו תרשים. ציד מתקדם תומך בתצוגות הבאות:

סוג תצוגה תיאור
הטבלה הצגת תוצאות השאילתה בתבנית טבלאית
תרשים טורים עיבוד סידרה של פריטים ייחודיים בציר ה- x כסרגלים אנכיים שהגובה שלהם מייצג ערכים מספריים מתוך שדה אחר
תרשים עוגה עיבוד פשטידות מקטעים המייצגות פריטים ייחודיים. הגודל של כל עוגה מייצג ערכים מספריים מתוך שדה אחר.
תרשים קו התוויית ערכים מספריים עבור סידרה של פריטים ייחודיים וחיבור הערכים המותווים
תרשים פיזור התוויית ערכים מספריים עבור סידרה של פריטים ייחודיים
תרשים שטח התוויית ערכים מספריים עבור סידרה של פריטים ייחודיים וממלא את המקטעים מתחת לערכים המותווים
תרשים שטח מוערם התוויית ערכים מספריים עבור סידרה של פריטים ייחודיים וערימה של המקטעים עם מילוי מתחת לערכים המותווים
תרשים זמן התוויית ערכים לפי ספירה בסרגל זמן ליניארי

בניית שאילתות עבור תרשימים יעילים

בעת עיבוד תרשימים, ציד מתקדם מזהה באופן אוטומטי עמודות בעלות עניין ואת הערכים המספריים שיש לצבור. כדי לקבל תרשימים בעלי משמעות, בנה את השאילתות שלך כדי להחזיר את הערכים הספציפיים שברצונך להציג באופן חזותי. להלן כמה שאילתות לדוגמה ואת התרשימים המתבצעים.

התראות לפי חומרה

השתמש באופרטור summarize כדי להשיג ספירה מספרית של הערכים שברצונך ליצור עבורם תרשים. השאילתה שלהלן משתמשת summarize באופרטור כדי לקבל את מספר ההתראות לפי חומרה.

AlertInfo
| summarize Total = count() by Severity

בעת עיבוד התוצאות, תרשים טורים מציג כל ערך חומרה כעמודה נפרדת:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

דוגמה של תרשים המציג תוצאות ציד מתקדמות בפורטל Microsoft Defender החיפוש

הודעות דואר אלקטרוני של דיוג בין עשר תחומי השולחים המובילים

אם אתה מתמודד עם רשימת ערכים שאינם סופיים, Top באפשרותך להשתמש באופרטור כדי ליצור תרשים רק עבור הערכים עם רוב המופעים. לדוגמה, כדי לקבל את 10 תחומי השולחים המובילים עם הודעות הדואר האלקטרוני הרבות ביותר של דיוג, השתמש בשאילתה הבאה:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

השתמש בתצוגת תרשים העוגה כדי להציג הפצה ביעילות בין התחומים המובילים:

תרשים העוגה המציג תוצאות ציד מתקדמות בפורטל Microsoft Defender החיפוש

פעילויות קובץ לאורך זמן

באמצעות האופרטור summarize עם הפונקציה bin() , באפשרותך לבדוק אם קיימים אירועים הכוללים מחוון מסוים לאורך זמן. השאילתה שלהלן סופרת אירועים הכוללים invoice.doc את הקובץ במרווחי זמן של 30 דקות כדי להציג דקר בפעילות הקשורה לקובץ זה:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

תרשים הקו שלהלן מסמן בבירור תקופות זמן הכוללות יותר פעילויות invoice.doc:

תרשים הקו המציג תוצאות ציד מתקדמות בפורטל Microsoft Defender החיפוש

ייצוא טבלאות ותרשימים

לאחר הפעלת שאילתה, בחר יצא כדי לשמור את התוצאות בקובץ מקומי. התצוגה שבחרת קובעת כיצד ייוצאו התוצאות:

  • תצוגת טבלה — תוצאות השאילתה מיוצאות בצורת טבלה כחוברת עבודה של Microsoft Excel
  • כל תרשים — תוצאות השאילתה מיוצאות כתמונת JPEG של התרשים המעובד

הסתעפות מתוך תוצאות שאילתה

באפשרותך גם לעיין בתוצאות התואמות לתכונות הבאות:

  • הרחב תוצאה על-ידי בחירת החץ הנפתח מימין לכל תוצאה
  • כאשר הדבר ישים, הרחב את הפרטים עבור תוצאות בתבניות JSON ומערך על-ידי בחירת החץ הנפתח מימין לשמות עמודות ישימות כדי להוסיף קריאות
  • פתיחת החלונית הצדדית כדי לראות את פרטי הרשומה (בו-זמנית עם שורות מורחבות)

צילום מסך של הרחבת התוצאות להרחבה

באפשרותך גם ללחוץ באמצעות לחצן העכבר הימני על כל ערך תוצאות בשורה כדי שתוכל להשתמש בו כדי להוסיף מסננים נוספים לשאילתה הקיימת או להעתיק את הערך לשימוש בחקירה נוספת.

צילום מסך של אפשרויות בעת לחיצה באמצעות לחצן העכבר הימני על אפשרות

יתר על כן, עבור שדות JSON ומערך, באפשרותך ללחוץ באמצעות לחצן העכבר הימני ולעדכן את השאילתה הקיימת כדי לכלול או לא לכלול את השדה, או להרחיב את השדה לעמודה חדשה.

צילום מסך של אפשרויות בעת לחיצה באמצעות לחצן העכבר הימני על אפשרות עבור JSON ושדות מערך

כדי לבדוק במהירות רשומה בתוצאות השאילתה, בחר את השורה המתאימה כדי לפתוח את לוח בדוק רשומה . הלוח מספק את המידע הבא בהתבסס על הרשומה שנבחרה:

  • נכסים – תצוגה מסוכמת של הנכסים העיקריים (תיבות דואר, מכשירים ומשתמשים) שנמצאים ברשומה, מועשרים במידע זמין, כגון רמות חשיפה וסיכון
  • כל הפרטים - כל הערכים מהעמודות ברשומה

הרשומה שנבחרה עם הלוח לבדיקה של הרשומה Microsoft Defender הפורטל

כדי להציג מידע נוסף אודות ישות ספציפית בתוצאות השאילתה שלך, כגון מחשב, קובץ, משתמש, כתובת IP או כתובת URL, בחר את מזהה הישות כדי לפתוח דף פרופיל מפורט עבור ישות זו.

שנה את השאילתות שלך מהתוצאות

בחר את שלוש הנקודות משמאל לעמודה כלשהי בלוח בדוק רשומה . באפשרותך להשתמש באפשרויות כדי:

  • חפש במפורש את הערך שנבחר (==)
  • אל תכלול את הערך שנבחר בשאילתה (!=)
  • קבל אופרטורים מתקדמים יותר להוספת הערך לשאילתה שלך, כגון contains, starts with, וכן ends with

החלונית 'סוג פעולה' בדף 'בדוק רשומה' בפורטל Microsoft Defender'

הערה

ייתכן שטבלאות מסוימות במאמר זה לא יהיו זמינות Microsoft Defender עבור נקודת קצה. הפעל Microsoft Defender XDR לחפש איומים באמצעות מקורות נתונים נוספים. באפשרותך להעביר את זרימות העבודה המתקדמות שלך Microsoft Defender עבור נקודת קצה ל- Microsoft Defender XDR על-ידי ביצוע השלבים במאמר העברת שאילתות ציד מתקדמות Microsoft Defender עבור נקודת קצה.

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.