Speciális veszélyforrás-kereséssel kapcsolatos szakértői képzés
Érintett szolgáltatás:
- Microsoft Defender XDR
Az új biztonsági elemzők és tapasztalt veszélyforrás-vadászok számára készült webcast-sorozat, a Tracking theversary (A támadó nyomon követése) című webcast-sorozatával gyorsan növelheti a fejlett veszélyforrás-kereséssel kapcsolatos tudását. A sorozat végigvezeti önt az alapokon egészen a saját kifinomult lekérdezések létrehozásához. Kezdje az alapokról szóló első videóval, vagy ugorjon a tapasztaltabb videókra, amelyek megfelelnek a felhasználói élményének.
| Title | Leírás | Megtekintés | Lekérdezések |
|---|---|---|---|
| Episode 1: KQL alapjai | Ez az epizód a speciális vadászat alapjait ismerteti Microsoft Defender XDR. További információ a rendelkezésre álló speciális veszélyforrás-keresési adatokról, valamint az alapszintű KQL-szintaxisról és operátorokról. | YouTube (54:14) | Szövegfájl |
| Episode 2: Joins | Folytassa az adatok speciális veszélyforrás-keresésben való megismerését és a táblák összekapcsolásának módját. Megismerheti a inner, outer, uniqueés semi illesztéseket, és megismerheti az alapértelmezett Kusto-illesztés innerunique árnyalatait. |
YouTube (53:33) | Szövegfájl |
| 3. epizód: Adatok összegzése, kimutatása és vizualizációja | Most, hogy megismerte az adatok szűrését, manipulálását és összekapcsolását, ideje összegezni, számszerűsíteni, kimutatásozni és vizualizálni. Ez az epizód az operátort és a summarize különböző számításokat ismerteti, miközben további táblákat vezet be a sémában. Azt is megtudhatja, hogyan alakíthatja át az adathalmazokat diagramokká, amelyek segíthetnek a megállapítások kinyerésében. |
YouTube (48:52) | Szövegfájl |
| Episode 4: Let's hunt! KQL alkalmazása incidenskövetésre | Ebben az epizódban megtanulhatja nyomon követni a támadók tevékenységét. A támadás nyomon követéséhez a Kusto és a fejlett veszélyforrás-keresés jobb megértését használjuk. Megismerheti a területen használt tényleges trükköket, beleértve a kiberbiztonság ABC-jeit, és hogy hogyan alkalmazhatja őket az incidensekre való reagálásra. | YouTube (59:36) | Szövegfájl |
További szakértői képzés L33TSP3AK: Speciális veszélyforrás-keresés a Microsoft Defender XDR-ben, egy webcast-sorozat elemzőknek, akik szeretnék bővíteni technikai tudásukat és gyakorlati készségeiket a biztonsági vizsgálatok elvégzésében fejlett veszélyforrás-kereséssel Microsoft Defender XDR.
| Title | Leírás | Megtekintés | Lekérdezések |
|---|---|---|---|
| Epizód 1 | Ebben az epizódban különböző ajánlott eljárásokat ismerhet meg a speciális veszélyforrás-keresési lekérdezések futtatásához. A tárgyalt témakörök közé tartozik a lekérdezések optimalizálása, a zsarolóprogramok speciális veszélyforrás-keresésének használata, a JSON dinamikus típusként való kezelése és a külső adatoperátorok használata. | YouTube (56:34) | Szövegfájl |
| Episode 2 | Ebben az epizódban megtudhatja, hogyan vizsgálhatja meg és válaszolhat a gyanús vagy szokatlan bejelentkezési helyekre és adatkiszivárgásra a beérkezett üzenetek továbbítási szabályaival. Sebastien Molendijk, a Cloud Security CxE vezető programmenedzsere azt osztja meg, hogyan lehet fejlett veszélyforrás-kereséssel kivizsgálni a többszakaszos incidenseket Microsoft Defender for Cloud Apps adatokkal. | YouTube (57:07) | Szövegfájl |
| Episode 3 | Ebben az epizódban a speciális veszélyforrás-keresés legújabb fejlesztéseit, a külső adatforrások lekérdezésbe való importálását, valamint a nagy lekérdezési eredmények kisebb eredményhalmazokba való szegmentálását mutatjuk be, hogy ne érjék el az API-korlátokat. | YouTube (40:59) | Szövegfájl |
A CSL-fájl használata
Mielőtt elindít egy epizódot, lépjen a megfelelő szövegfájlhoz a GitHubon , és másolja a tartalmát a speciális veszélyforrás-keresési lekérdezésszerkesztőbe. Az epizód watch a másolt tartalommal követheti a hangszórót, és lekérdezéseket futtathat.
A lekérdezéseket tartalmazó szövegfájl alábbi részlete egy átfogó útmutatót mutat be, amely megjegyzésként van megjelölve a következővel //: .
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Ugyanez a szövegfájl a megjegyzések előtt és után is tartalmaz lekérdezéseket az alább látható módon. Ha egy adott lekérdezést több lekérdezéssel szeretne futtatni a szerkesztőben, vigye a kurzort a lekérdezésre, és válassza a Lekérdezés futtatása lehetőséget.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Egyéb erőforrások
| Title | Leírás | Megtekintés |
|---|---|---|
| Táblák összekapcsolás a KQL-ben | Ismerje meg a táblák összekapcsolásának erejét a jelentéssel bíró eredmények létrehozásában. | YouTube (4:17) |
| Táblák optimalizálása a KQL-ben | Megtudhatja, hogyan kerülheti el az időtúllépéseket összetett lekérdezések futtatásakor a lekérdezések optimalizálásával. | YouTube (5:38) |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- A speciális veszélyforrás-keresési lekérdezési nyelv elsajátítása
- A lekérdezés eredményeinek használata
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: