עבודה עם תוצאות מתקדמות של שאילתת ציד
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
למרות שבאפשרותך לבנות את שאילתות הציד המתקדמות שלך כדי להחזיר מידע מדויק, באפשרותך גם לעבוד עם תוצאות השאילתה כדי לקבל תובנות נוספות ולחקור פעילויות ומחוונים ספציפיים. באפשרותך לבצע את הפעולות הבאות בתוצאות השאילתה שלך:
- הצגת תוצאות כטבלה או כתרשים
- ייצוא טבלאות ותרשימים
- הסתעפות לפרטים מפורטים אודות הישות
- שנה את השאילתות שלך ישירות מהתוצאות
הצגת תוצאות שאילתה כטבלה או כתרשים
כברירת מחדל, ציד מתקדם מציג תוצאות שאילתה כנתונים טבלאיים. באפשרותך גם להציג את אותם נתונים כמו תרשים. ציד מתקדם תומך בתצוגות הבאות:
| סוג תצוגה | תיאור |
|---|---|
| שולחן | הצגת תוצאות השאילתה בתבנית טבלאית |
| תרשים טורים | עיבוד סידרה של פריטים ייחודיים בציר ה- x כסרגלים אנכיים שהגובה שלהם מייצג ערכים מספריים מתוך שדה אחר |
| תרשים עוגה | עיבוד פשטידות מקטעים המייצגות פריטים ייחודיים. הגודל של כל עוגה מייצג ערכים מספריים מתוך שדה אחר. |
| תרשים קו | התוויית ערכים מספריים עבור סידרה של פריטים ייחודיים וחיבור הערכים המותווים |
| תרשים פיזור | התוויית ערכים מספריים עבור סידרה של פריטים ייחודיים |
| תרשים שטח | התוויית ערכים מספריים עבור סידרה של פריטים ייחודיים וממלא את המקטעים מתחת לערכים המותווים |
| תרשים שטח מוערם | התוויית ערכים מספריים עבור סידרה של פריטים ייחודיים וערימה של המקטעים עם מילוי מתחת לערכים המותווים |
| תרשים זמן | התוויית ערכים לפי ספירה בסרגל זמן ליניארי |
בניית שאילתות עבור תרשימים יעילים
בעת עיבוד תרשימים, ציד מתקדם מזהה באופן אוטומטי עמודות בעלות עניין ואת הערכים המספריים שיש לצבור. כדי לקבל תרשימים בעלי משמעות, בנה את השאילתות שלך כדי להחזיר את הערכים הספציפיים שברצונך להציג באופן חזותי. להלן כמה שאילתות לדוגמה ואת התרשימים המתבצעים.
התראות לפי חומרה
השתמש באופרטור summarize כדי להשיג ספירה מספרית של הערכים שברצונך ליצור עבורם תרשים. השאילתה שלהלן משתמשת summarize באופרטור כדי לקבל את מספר ההתראות לפי חומרה.
AlertInfo
| summarize Total = count() by Severity
בעת עיבוד התוצאות, תרשים טורים מציג כל ערך חומרה כעמודה נפרדת:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
הודעות דואר אלקטרוני של דיוג בין עשר תחומי השולחים המובילים
אם אתה מתמודד עם רשימת ערכים שאינם סופיים, Top באפשרותך להשתמש באופרטור כדי ליצור תרשים רק עבור הערכים עם רוב המופעים. לדוגמה, כדי לקבל את 10 תחומי השולחים המובילים עם הודעות הדואר האלקטרוני הרבות ביותר של דיוג, השתמש בשאילתה הבאה:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
השתמש בתצוגת תרשים העוגה כדי להציג הפצה ביעילות בין התחומים המובילים:
פעילויות קובץ לאורך זמן
באמצעות האופרטור summarize עם הפונקציה bin() , באפשרותך לבדוק אם קיימים אירועים הכוללים מחוון מסוים לאורך זמן. השאילתה שלהלן סופרת אירועים הכוללים invoice.doc את הקובץ במרווחי זמן של 30 דקות כדי להציג דקר בפעילות הקשורה לקובץ זה:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
תרשים הקו שלהלן מסמן בבירור תקופות זמן הכוללות יותר פעילויות invoice.doc:
ייצוא טבלאות ותרשימים
לאחר הפעלת שאילתה, בחר יצא כדי לשמור את התוצאות בקובץ מקומי. התצוגה שבחרת קובעת כיצד ייוצאו התוצאות:
- תצוגת טבלה — תוצאות השאילתה מיוצאות בצורת טבלה כחוברת עבודה של Microsoft Excel
- כל תרשים — תוצאות השאילתה מיוצאות כתמונת JPEG של התרשים המעובד
סינון תוצאות
לאחר הפעלת שאילתה, בחר סנן כדי לצמצם את התוצאות.
כדי להוסיף מסנן, בחר את הנתונים שברצונך לסנן עבורם על-ידי בחירה באחת או יותר מתיבות הסימון. לאחר מכן בחר הוסף.
באפשרותך לצמצם את התוצאות עוד יותר לנתונים ספציפיים על-ידי בחירת המסנן החדש שנוסף.
פעולה זו פותחת רשימה נפתחת המציגה את המסננים האפשריים שניתן להשתמש בהם עוד יותר. בחר אחת או יותר מתיבות הסימון ולאחר מכן בחר החל.
ודא שהוספת את המסננים הרצויים על-ידי בדיקת המקטע מסננים.
הסתעפות מתוך תוצאות שאילתה
באפשרותך גם לעיין בתוצאות התואמות לתכונות הבאות:
- הרחב תוצאה על-ידי בחירת החץ הנפתח מימין לכל תוצאה
- כאשר הדבר ישים, הרחב את הפרטים עבור תוצאות בתבניות JSON ומערך על-ידי בחירת החץ הנפתח מימין לשמות עמודות ישימות כדי להוסיף קריאות
- פתיחת החלונית הצדדית כדי לראות את פרטי הרשומה (בו-זמנית עם שורות מורחבות)
באפשרותך גם ללחוץ באמצעות לחצן העכבר הימני על כל ערך תוצאות בשורה כדי שתוכל להשתמש בו כדי להוסיף מסננים נוספים לשאילתה הקיימת או להעתיק את הערך לשימוש בחקירה נוספת.
יתר על כן, עבור שדות JSON ומערך, באפשרותך ללחוץ באמצעות לחצן העכבר הימני ולעדכן את השאילתה הקיימת כדי לכלול או לא לכלול את השדה, או להרחיב את השדה לעמודה חדשה.
כדי לבדוק במהירות רשומה בתוצאות השאילתה, בחר את השורה המתאימה כדי לפתוח את לוח בדוק רשומה . הלוח מספק את המידע הבא בהתבסס על הרשומה שנבחרה:
- נכסים – תצוגה מסוכמת של הנכסים העיקריים (תיבות דואר, מכשירים ומשתמשים) שנמצאים ברשומה, מועשרים במידע זמין, כגון רמות חשיפה וסיכון
- כל הפרטים - כל הערכים מהעמודות ברשומה
כדי להציג מידע נוסף אודות ישות ספציפית בתוצאות השאילתה שלך, כגון מחשב, קובץ, משתמש, כתובת IP או כתובת URL, בחר את מזהה הישות כדי לפתוח דף פרופיל מפורט עבור ישות זו.
שנה את השאילתות שלך מהתוצאות
בחר את שלוש הנקודות משמאל לעמודה כלשהי בלוח בדוק רשומה . באפשרותך להשתמש באפשרויות כדי:
- חפש במפורש את הערך שנבחר (
==) - אל תכלול את הערך שנבחר בשאילתה (
!=) - קבל אופרטורים מתקדמים יותר להוספת הערך לשאילתה שלך, כגון
contains,starts with, וכןends with
הערה
ייתכן שטבלאות מסוימות במאמר זה לא יהיו זמינות Microsoft Defender עבור נקודת קצה. הפעל Microsoft Defender XDR לחפש איומים באמצעות מקורות נתונים נוספים. באפשרותך להעביר את זרימות העבודה המתקדמות שלך Microsoft Defender עבור נקודת קצה ל- Microsoft Defender XDR על-ידי ביצוע השלבים במאמר העברת שאילתות ציד מתקדמות Microsoft Defender עבור נקודת קצה.
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
- מבט כולל על זיהויים מותאמים אישית
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.