Megosztás a következőn keresztül:

Speciális veszélyforrás-keresési példa Office 365-höz készült Microsoft Defender

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Szeretné elkezdeni az e-mailes fenyegetések keresését speciális veszélyforrás-kereséssel? Próbálkozzon az alábbi lépésekkel:

Az Office 365-höz készült Microsoft Defender üzembe helyezési útmutatója bemutatja, hogyan ugrahat be, és hogyan kezdheti meg a konfigurálást az 1. napon.

Az előre beállított biztonsági szabályzattól és az egyéni házirend-beállításoktól függően fontos tudni, hogy a kézbesítés után eltávolítottak-e kártékony üzenetet a postaládából.

Ha gyorsan navigál a Kusto lekérdezési nyelvére a problémák kereséséhez, az a két biztonsági központ összehívásának előnye. A biztonsági csapatok a veszélyforrás-keresés speciális veszélyforrás-keresés> Microsoft Defender portálonhttps://security.microsoft.com> követhetik nyomon a ZAP-hiányokat.

  1. A Speciális veszélyforrás-keresés laponhttps://security.microsoft.com/v2/advanced-huntingellenőrizze, hogy az Új lekérdezés lap van-e kiválasztva.

  2. Másolja a következő lekérdezést a Lekérdezés mezőbe:

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Válassza a Lekérdezés futtatása lehetőséget.

    A Speciális veszélyforrás-keresés lap (a Veszélyforrás-keresés területen), amelyen a Lekérdezés elem van kiválasztva a lekérdezési panel tetején, és egy Kusto-lekérdezés futtatása az elmúlt hét nap ZAP-műveleteinek rögzítéséhez.

    A lekérdezésből származó adatok a lekérdezés alatt, az Eredmények panelen jelennek meg. Az eredmények olyan információkat tartalmaznak, mint a DeviceName, AccountDisplayNamea és ZapTime a egy testre szabható eredményhalmaz. Az eredmények exportálhatók a rekordokhoz is. Ha újra szeretné menteni a lekérdezést, válassza a Mentés>másként lehetőséget, hogy hozzáadja a lekérdezést a lekérdezések, megosztott vagy közösségi lekérdezések listájához.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.