A speciális veszélyforrás-keresési lekérdezési nyelv elsajátítása
Érintett szolgáltatás:
- Microsoft Defender XDR
A speciális veszélyforrás-keresés a Kusto lekérdezési nyelvén alapul. A Kusto-operátorok és -utasítások használatával olyan lekérdezéseket hozhat létre, amelyek egy speciális sémában találnak információt.
Ebből a rövid videóból megismerhet néhány hasznos Kusto-lekérdezési nyelvet.
A fogalmak jobb megértéséhez futtassa az első lekérdezést.
Próbálja ki az első lekérdezést
A Microsoft Defender portálon lépjen a Veszélyforrás-keresés elemre az első lekérdezés futtatásához. Használja az alábbi példát:
// Finds PowerShell execution events that could involve a download
union DeviceProcessEvents, DeviceNetworkEvents
| where Timestamp > ago(7d)
// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")
// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
"DownloadFile",
"DownloadData",
"DownloadString",
"WebRequest",
"Shellcode",
"http",
"https")
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp
A lekérdezés futtatása speciális veszélyforrás-keresésben
Írja le a lekérdezést, és adja meg a keresendő táblákat
A lekérdezés elejéhez hozzáadtunk egy rövid megjegyzést, amely leírja, hogy mire való. Ez a megjegyzés segít, ha később úgy dönt, hogy menti a lekérdezést, és megosztja másokkal a szervezetében.
// Finds PowerShell execution events that could involve a download
Maga a lekérdezés általában egy táblanévvel kezdődik, amelyet több elem követ, amelyek egy folyamattal (|
) kezdődnek. Ebben a példában először létrehozunk egy két táblából álló egyesítést, DeviceProcessEvents
és DeviceNetworkEvents
szükség szerint hozzáadjuk a piped elemeket.
union DeviceProcessEvents, DeviceNetworkEvents
Az időtartomány beállítása
Az első piped elem egy időszűrő, amely az előző hét napra terjed ki. Az időtartomány korlátozásával biztosítható, hogy a lekérdezések megfelelően teljesíthessenek, kezelhető eredményeket adjanak vissza, és ne legyenek időtúllépések.
| where Timestamp > ago(7d)
Megjegyzés:
A Kusto időszűrői UTC-ben vannak, a beállításokban megadott időzónától függetlenül.
Adott folyamatok ellenőrzése
Az időtartományt azonnal a PowerShell-alkalmazást jelölő folyamatfájlnevek keresése követi.
// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")
Adott parancssztringek keresése
Ezt követően a lekérdezés parancssorokban keres sztringeket, amelyeket általában a Fájlok letöltése a PowerShell használatával használnak.
// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
"DownloadFile",
"DownloadData",
"DownloadString",
"WebRequest",
"Shellcode",
"http",
"https")
Eredményoszlopok és -hossz testreszabása
Most, hogy a lekérdezés egyértelműen azonosítja a megkeresni kívánt adatokat, megadhatja, hogyan néznek ki az eredmények.
project
adott oszlopokat ad vissza, és top
korlátozza az eredmények számát. Ezek az operátorok segítenek biztosítani, hogy az eredmények megfelelően formázva legyenek, és ésszerűen nagyok és könnyen feldolgozhatók legyenek.
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp
Az eredmények megtekintéséhez válassza a Lekérdezés futtatása lehetőséget.
Tipp
A lekérdezési eredményeket diagramként tekintheti meg, és gyorsan módosíthatja a szűrőket. Útmutatásért olvassa el a lekérdezési eredményekről szóló cikket.
Gyakori lekérdezési operátorok ismertetése
Most futtatta az első lekérdezést, és általános képet ad az összetevőiről. Itt az ideje, hogy kicsit visszalépjen, és megtanuljon néhány alapismeretet. A speciális veszélyforrás-keresés által használt Kusto lekérdezési nyelv számos operátort támogat, köztük az alábbi gyakoriakat.
Operátor | Leírás és használat |
---|---|
where |
Szűrjön egy táblát a predikátumnak megfelelő sorok részhalmazára. |
summarize |
Hozzon létre egy táblát, amely összesíti a bemeneti tábla tartalmát. |
join |
Két tábla sorainak egyesítése új tábla létrehozásához az egyes táblákban megadott oszlop(ok) értékeinek egyeztetésével. Ebből a cikkből megtudhatja, hogyan csatlakozhat táblákhoz a KQL-ben . |
count |
A bemeneti rekordhalmaz rekordjainak számát adja vissza. |
top |
Az első N rekordot adja vissza a megadott oszlopok szerint rendezve. |
limit |
Adja vissza a megadott számú sort. |
project |
Jelölje ki a belefoglalni, átnevezni vagy elvetni kívánt oszlopokat, és szúrjon be új számított oszlopokat. |
extend |
Számított oszlopok létrehozása és hozzáfűzése az eredményhalmazhoz. |
makeset |
Az Expr által a csoportba foglalt egyedi értékek halmazának dinamikus (JSON-) tömbje. |
find |
Megkeresi azokat a sorokat, amelyek egy táblakészlet predikátumának felelnek meg. |
Ha élő példát szeretne látni ezekre az operátorokra, futtassa őket a speciális veszélyforrás-keresés Első lépések szakaszában.
Az adattípusok ismertetése
A speciális veszélyforrás-keresés a Kusto-adattípusokat támogatja, beleértve a következő gyakori típusokat:
Adattípus | Leírás és lekérdezési következmények |
---|---|
datetime |
Az adatok és az időadatok általában esemény-időbélyegeket jelölnek. A támogatott dátum/idő formátumok megtekintése |
string |
Karaktersztring az UTF-8-ban, szimpla idézőjelek (' ) vagy dupla idézőjelek (" ) között.
További információ a sztringekről |
bool |
Ez az adattípus támogatja true a vagy false az állapotot.
Lásd: támogatott literálok és operátorok |
int |
32 bites egész szám |
long |
64 bites egész szám |
Ha többet szeretne megtudni ezekről az adattípusokról, olvassa el a Kusto skaláris adattípusait ismertető cikket.
Segítség kérése lekérdezések írásakor
A lekérdezések gyorsabb írásához használja ki az alábbi funkciókat:
- Autosuggest – lekérdezések írása közben a speciális veszélyforrás-keresés javaslatokat nyújt az IntelliSense-től.
- Sémafa – a munkaterület mellett található egy sémaábrázolás, amely tartalmazza a táblák és oszlopaik listáját. További információkért vigye az egérmutatót egy elem fölé. Dupla kattintással szúrja be az elemet a lekérdezésszerkesztőbe.
-
Sémareferencia – a portálon belüli hivatkozás tábla- és oszlopleírásokkal, valamint támogatott eseménytípusokkal (
ActionType
értékekkel) és mintalekérdezésekkel
Több lekérdezéssel végzett munka a szerkesztőben
A lekérdezésszerkesztővel több lekérdezéssel is kísérletezhet. Több lekérdezés használata:
- Különítse el az egyes lekérdezéseket üres sorokkal.
- Helyezze a kurzort a lekérdezés bármely részére, és a lekérdezés futtatása előtt jelölje ki a lekérdezést. Ez csak a kijelölt lekérdezést futtatja. Másik lekérdezés futtatásához mozgassa a kurzort ennek megfelelően, és válassza a Lekérdezés futtatása lehetőséget.
A hatékonyabb munkaterület érdekében több lapot is használhat ugyanazon a veszélyforrás-keresési oldalon. Válassza az Új lekérdezés lehetőséget az új lekérdezés lapjának megnyitásához.
Ezután anélkül futtathat különböző lekérdezéseket, hogy új böngészőlapot nyitna meg.
Megjegyzés:
Ha több böngészőlapot használ speciális veszélyforrás-kereséssel, elveszhetnek a nem mentett lekérdezések. Ennek elkerülése érdekében használja a speciális veszélyforrás-keresés lapfunkcióját a különálló böngészőlapok helyett.
Mintalekérdezések használata
Az Első lépések szakasz néhány egyszerű lekérdezést tartalmaz, amelyek gyakran használt operátorokat használnak. Próbálja meg futtatni ezeket a lekérdezéseket, és kisebb módosításokat végez rajtuk.
Megjegyzés:
Az alapszintű lekérdezésmintákon kívül adott veszélyforrás-keresési forgatókönyvekhez is hozzáférhet a megosztott lekérdezésekhez . A lap bal oldalán vagy a GitHub lekérdezési adattárában található megosztott lekérdezések megismerése.
Az Access lekérdezési nyelv dokumentációja
További információ a Kusto lekérdezési nyelvéről és a támogatott operátorokról: A Kusto lekérdezési nyelv dokumentációja.
Megjegyzés:
Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el Végponthoz készült Microsoft Defender. Kapcsolja be a Microsoft Defender XDR, hogy több adatforrással keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat Végponthoz készült Microsoft Defender-ról Microsoft Defender XDR-ra helyezheti át a speciális veszélyforrás-keresési lekérdezések áttelepítése Végponthoz készült Microsoft Defender.
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- A lekérdezés eredményeinek használata
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.