A lekérdezés pontosítása irányított módban

Érintett szolgáltatás:

• Microsoft Defender XDR

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Különböző adattípusok használata

Irányított módban a speciális veszélyforrás-keresés számos adattípust támogat, amelyekkel finomhangolhatja a lekérdezést.

• Számok
  

• Karakterláncok
  

  A szabad szövegmezőbe írja be az értéket, és nyomja le az Enter billentyűt a hozzáadáshoz. Vegye figyelembe, hogy az értékek közötti elválasztó az Enter.
  

  

• Logikai
  

• Datetime
  

• Zárt lista – Nem kell megjegyeznie a keresett értéket. Egyszerűen választhat a többszörös kijelölést támogató, javasolt zárt listák közül.
  

Alcsoportok használata

Feltételek csoportjait az Alcsoport hozzáadása gombra kattintva hozhatja létre:

Intelligens automatikus kiegészítés használata kereséshez

Az intelligens automatikus kiegészítés támogatott az eszközök és a felhasználói fiókok kereséséhez. Nem kell megjegyeznie az eszközazonosítót, a teljes eszköznevet vagy a felhasználói fiók nevét. Elkezdheti beírni a keresett eszköz vagy felhasználó első néhány karakterét, és megjelenik egy javasolt lista, amelyből kiválaszthatja, hogy mire van szüksége:

A EventType használata

Az EventType szűrővel adott eseménytípusokat, például az összes sikertelen bejelentkezést, fájlmódosítási eseményt vagy sikeres hálózati kapcsolatot is megkereshet, ahol alkalmazható.

Ha például olyan feltételt szeretne hozzáadni, amely a beállításazonosító törlését keresi, lépjen a Beállításjegyzék eseményei szakaszra, és válassza az EventType lehetőséget.

Ha a Beállításjegyzék eseményei területen az EventType lehetőséget választja, különböző beállításjegyzék-események közül választhat, beleértve azt is, amelyikre keres, a BeállításjegyzékÉrték törölve.

Megjegyzés:

EventType az adatséma megfelelője ActionType , amelyet a speciális mód felhasználói jobban ismerhetnek.

A lekérdezés tesztelése kisebb mintamérettel

Ha még dolgozik a lekérdezésen, és szeretné gyorsan megtekinteni a teljesítményét és néhány mintaeredményt, módosítsa a visszaadott rekordok számát egy kisebb készlet kiválasztásával a Mintaméret legördülő menüben.

A mintaméret alapértelmezés szerint 10 000 találatra van beállítva. Ez a vadászat során visszaadható rekordok maximális száma. Javasoljuk azonban, hogy a lekérdezés gyors teszteléséhez csökkentse a minta méretét 10-re vagy 100-ra, mivel ezzel kevesebb erőforrást használ fel, miközben a lekérdezés fejlesztésén dolgozik.

Ezután, miután véglegesíti a lekérdezést, és készen áll arra, hogy felhasználja a vadászati tevékenység összes releváns eredményének lekéréséhez, győződjön meg arról, hogy a minta mérete 10 ezerre van állítva, a maximális értékre.

Váltás speciális módra lekérdezés létrehozása után

A Szerkesztés a KQL-ben lehetőségre kattintva megtekintheti a kiválasztott feltételek által létrehozott KQL-lekérdezést. A KQL-ben végzett szerkesztés speciális módban új lapot nyit meg a megfelelő KQL-lekérdezéssel:

A fenti példában a kijelölt nézet a Mind, ezért láthatja, hogy a KQL-lekérdezés az összes olyan táblában keres, amely rendelkezik a név és az SHA256 fájltulajdonságokkal, valamint a tulajdonságokat lefedő összes megfelelő oszlopban.

Ha a nézetet e-mailekre & együttműködésre módosítja, a lekérdezés a következőre lesz szűkítve:

Lásd még

• Speciális veszélyforrás-keresési kvóták és használati paraméterek
• Speciális veszélyforrás-keresési lefedettség kiterjesztése a megfelelő beállításokkal

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.