בניית שאילתות ציד באמצעות מצב Microsoft Defender XDR

  • מאמר

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מבטיחה דבר, באופן מפורש או משתמע, באשר למידע המסופק כאן.

בונה השאילתות במצב מודרך מאפשר לאנליסטים ליצור שאילתות ציד בעלות משמעות מבלי לדעת את שפת השאילתות של Kusto (KQL) או את סכימת הנתונים. אנליסטים מכל רמה של ניסיון יכולים להשתמש בבונה השאילתות כדי לסנן נתונים מ- 30 הימים האחרונים כדי לחפש איומים, להרחיב חקירות מקריות, לבצע ניתוח נתונים על נתוני איומים או להתמקד באזורי איומים ספציפיים.

האנליסטים יכולים לבחור את ערכת הנתונים שבה יש להזין את המידע ואת המסננים והתנאים שבהם יש להשתמש כדי לצמצם את הנתונים למה שהם צריכים.

באפשרותך לצפות בסרטון וידאו זה כדי לקבל מבט כולל על ציד מודרך:

פתיחת שאילתה בבונה

בדף ציד מתקדם, בחר אפשרויות Create חדשה כדי לפתוח כרטיסיית שאילתה חדשה ובחר שאילתה בבונה.

צילום מסך של בונה השאילתות במצב מודרך

פעולה זו מביאה אותך למצב המונחה, שבו תוכל לבנות את השאילתה על-ידי בחירת רכיבים שונים באמצעות תפריטים נפתחים.

ציין את תחום הנתונים שבו יש לחפש

באפשרותך לשלוט בטווח החיפוש על-ידי בחירת התחום שהשאילתה מכסה:

צילום מסך של הרשימה הנפתחת 'תחומים של בונה שאילתות במצב מודרך'

בחירה באפשרות הכל כוללת נתונים מכל התחומים שיש לך כעת גישה אליהם. צמצום לתחום ספציפי מאפשר מסננים הרלוונטיים לתחום זה בלבד.

באפשרותך לבחור מבין:

  • כל התחומים - כדי לעיין בכל הנתונים הזמינים בשאילתה
  • נקודות קצה - כדי בחן את נתוני נקודות הקצה כפי שסופק על-ידי Microsoft Defender עבור נקודת קצה
  • אפליקציות וזהויות - כדי לעיין בנתוני האפליקציות והזיהויות כפי שסופקו על-ידי יישומי ענן של Microsoft Defender ו- Microsoft Defender עבור זהות; משתמשים שהיכרות עם יומן הפעילות יכולים למצוא את אותם נתונים כאן
  • דואר אלקטרוני ושיתוף פעולה - כדי לעיין בענן של אפליקציות דואר אלקטרוני ושיתוף פעולה, כגון SharePoint, OneDrive ואחרים; משתמשים המוכרים ל- Threat Explorer יכולים למצוא את אותם נתונים כאן

שימוש במסננים בסיסיים

כברירת מחדל, ציד מודרך כולל כמה מסננים בסיסיים כדי להתחיל בעבודה במהירות.

צילום מסך של ערכת מסנן בסיסית של בונה השאילתות במצב מונחה

בעת בחירת מקור נתונים אחד, לדוגמה, נקודות קצה, בונה השאילתות מציג רק את קבוצות המסננים הישימות. לאחר מכן תוכל לבחור מסנן שברצונך לצמצם על-ידי בחירת קבוצת סינון זו, לדוגמה, EventType ובחירה במסנן שתבחר.

צילום מסך של ערכת הסינון הבסיסית של בונה השאילתות במצב מונחה

לאחר שהשאילתה מוכנה, בחר בלחצן הכחול הפעל שאילתה . אם הלחצן מופיע באפור מעומעם, יש למלא או לערוך את השאילתה עוד יותר.

הערה

תצוגת המסנן הבסיסית משתמשת באופרטור AND בלבד, כלומר הפעלת השאילתה יוצרת תוצאות שעבורן כל המסננים של הערכה הם True.

טעינת שאילתות לדוגמה

דרך מהירה נוספת להכיר ציד מודרך היא לטעון שאילתות לדוגמה באמצעות התפריט הנפתח 'טען שאילתות לדוגמה'. צילום מסך של בונה השאילתות במצב מודרך הטעינה רשימת שאילתות לדוגמה

הערה

בחירת שאילתה לדוגמה עוקפת את השאילתה הקיימת.

לאחר שהשאילתה לדוגמה נטענת, בחר הפעל שאילתה.

צילום מסך של שאילתה שנטען בבונה השאילתות במצב מודרך

אם בחרת בעבר תחום, רשימת השאילתות לדוגמה הזמינות משתנה בהתאם.

צילום מסך של רשימה מוגבלת של בונה השאילתות במצב מודרך

כדי לשחזר את הרשימה המלאה של שאילתות לדוגמה, בחר כל התחומים ולאחר מכן פתח מחדש את טען שאילתות לדוגמה.

אם השאילתה לדוגמה שנטען משתמשת במסננים מחוץ לערכת המסננים הבסיסית, הלחצן הדו-מצבי מופיע באפור. כדי לחזור לערכת המסננים הבסיסית, בחר נקה הכל ולאחר מכן החלף את המצב כל המסננים.

שימוש במסננים נוספים

כדי להציג קבוצות נוספות של מסננים ותנאים, בחר החלף מצב כדי לראות מסננים ותנאים נוספים.

צילום מסך של לחצן דו-מצבי של בונה שאילתות במצב מודרך עם מסננים נוספים

כאשר הלחצן הדו-מצבי כל המסננים פעיל, כעת באפשרותך להשתמש בטווח המלא של המסננים והתנאים במצב מודרך.

צילום מסך של בונה השאילתות במצב מודרך, כל המסננים פעילים

Create תנאים

כדי לציין ערכת נתונים שתשמש בשאילתה, בחר בחר מסנן. עיין במקטעי הסינון השונים כדי לגלות מה זמין עבורך.

צילום מסך המציג מסננים שונים שבהם ניתן להשתמש

הקלד את כותרות המקטעים בתיבת החיפוש בראש הרשימה כדי למצוא את המסנן. מקטעים המסתיימים במידע מכילים מסננים המספקים מידע אודות הרכיבים השונים שניתן לעיין שבהם ומסננים עבור מצבים של ישויות. מקטעים המסתיימים באירועים מכילים מסננים המאפשרים לך לחפש כל אירוע המנווטר בישות. לדוגמה, כדי לחפש פעילויות הכוללות מכשירים מסוימים, באפשרותך להשתמש במסננים תחת המקטע אירועי מכשיר.

הערה

בחירת מסנן שאינו מופיע ברשימת המסננים הבסיסית מבטלת את ההפעלה או מאפורה את הלחצן הדו-מצבי כדי לחזור לתצוגת המסננים הבסיסית. כדי לאפס את השאילתה או להסיר מסננים קיימים בשאילתה הנוכחית, בחר נקה הכל. פעולה זו גם מבצעת הפעלה מחדש של רשימת המסננים הבסיסיים.

לאחר מכן, הגדר את התנאי המתאים לסינון הנתונים עוד יותר על-ידי בחירתם מהתפריט הנפתח השני ומתן ערכים בתפריט הנפתח השלישי במידת הצורך:

צילום מסך המציג תנאים שונים שבהם ניתן להשתמש

באפשרותך להוסיף תנאים נוספים לשאילתה באמצעות תנאי AND ו - OR . הפונקציה AND מחזירה תוצאות הממלאות את כל התנאים בשאילתה, בעוד ש- OR מחזירה תוצאות הממלאות את כל התנאים בשאילתה.

צילום מסך המציג אופרטורים של AND OR

מיקוד השאילתה מאפשר לך לבצע סינון אוטומטי באמצעות רשומות וולומיות כדי ליצור רשימת תוצאות שכבר מיועדת לצורך ציד האיומים הספציפי שלך.

כדי לדעת אילו סוגי נתונים נתמכים ויכולות אחרות של מצב מודרך שיעזרו לך לכוונן את השאילתה, קרא את מקד את השאילתה במצב מודרך.

נסה הדרבי שאילתה לדוגמה

דרך נוספת להכיר את הציד המונחה היא לטעון שאילתות לדוגמה שנוצרו מראש במצב מודרך.

במקטע תחילת העבודה של דף הציד, סיפקנו שלוש דוגמאות לשאילתה המונחית שניתן לטעון. דוגמאות השאילתה מכילות כמה מהמסנן והקלט הנפוצים ביותר שתדרוש בדרך כלל לציד. טעינת כל אחת משלוש השאילתות לדוגמה פותחת סיור מודרך של אופן בניית הערך באמצעות מצב מודרך.

צילום מסך של בונה השאילתות במצב מודרך בתחילת העבודה עם הדרכי שאילתות

בצע את ההוראות בבועות הלימוד הכחולות כדי לבנות את השאילתה שלך. בחר הפעל שאילתה.

נסה שאילתות מסוימות

חפש חיבורים מוצלחים ל- IP ספציפי

כדי לחפש אחר תקשורת רשת מוצלחת לכתובת IP ספציפית, התחל להקליד "ip" כדי לקבל מסננים מוצעים:

צילום מסך של בונה השאילתות במצב מודרך מחפש חיבורים מוצלחים למסנן IP ספציפי ראשון

כדי לחפש אירועים הכוללים כתובת IP ספציפית שבה ה- IP הוא יעד התקשורת, בחר DestinationIPAddress תחת המקטע אירועי כתובת IP. לאחר מכן בחר את האופרטור שווה . הקלד את כתובת ה- IP בתפריט הנפתח השלישי והקש Enter:

צילום מסך של בונה השאילתות במצב מודרך מחפש חיבורים מוצלחים ל- IP ספציפי

לאחר מכן, כדי להוסיף תנאי שני שבו אתה מחפש אירועי תקשורת רשת מוצלחים, חפש את המסנן של סוג אירוע ספציפי:

צילום מסך של בונה השאילתות במצב מודרך מחפש חיבורים מוצלחים ל- IP ספציפי, תנאי שני

מסנן EventType מחפש את סוגי האירועים השונים שנרשם. היא מקבילה לעמודה ActionType , שאינה קיימת ברוב הטבלאות הנמצאות בשלבי ציד מתקדמים. בחר אותו כדי לבחור סוג אירוע אחד או יותר לסינון. כדי לחפש אירועי תקשורת רשת מוצלחים, הרחב את המקטע DeviceNetworkEvents ולאחר מכן בחר ConnectionSuccess:

צילום מסך של בונה השאילתות במצב מודרך מחפש חיבורים מוצלחים למצב שלישי ספציפי של IP

לבסוף, בחר הפעל שאילתה כדי לחפש את כל תקשורת הרשת המוצלחת לכתובת ה- IP 52.168.117.170:

צילום מסך של בונה השאילתות במצב מודרך מחפש חיבורים מוצלחים לתצוגת תוצאות IP ספציפית

חפש הודעות דיוג או הודעות זבל בביטחון גבוה הנמסרות לתיבת הדואר הנכנס

כדי לחפש את כל הודעות הדואר האלקטרוני של דיוג כדואר זבל בביטחון גבוה שהועברו לתיקיה 'תיבת דואר נכנס' בעת המסירה, תחילה בחר ConfidenceLevel תחת אירועי דואר אלקטרוני, בחר שווה ובחר גבוה תחת דיוג והודעות זבל מהרשימה הסגורה המוצעת התומכת בבחירות מרובות:

צילום מסך של בונה השאילתות במצב מודרך צד הודעות דואר אלקטרוני עם דיוג או דואר זבל בביטחון רב, הנמסרות לתיבת הדואר הנכנס, מצב ראשון

לאחר מכן, הוסף תנאי נוסף, הפעם ציין את התיקיה או DeliveryLocation, תיבת דואר נכנס/תיקיה.

צילום מסך של בונה השאילתות במצב מודרך צד הודעות דואר אלקטרוני עם דיוג או דואר זבל בביטחון רב, הנמסרות לתיבת הדואר הנכנס, בתנאי שני

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.