Megosztás a következőn keresztül:

Entitás- vagy eseményinformációk gyors keresése a go hunt használatával

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

A go hunt művelettel gyorsan megvizsgálhatja az eseményeket és a különböző entitástípusokat hatékony lekérdezésalapú speciális veszélyforrás-keresési képességekkel. Ez a művelet automatikusan futtat egy speciális keresési lekérdezést, hogy releváns információkat találjon a kiválasztott eseményről vagy entitásról.

A go hunt művelet a Microsoft Defender XDR különböző szakaszaiban érhető el. Ez a művelet az esemény vagy entitás részleteinek megjelenítése után tekinthető meg. Használhatja például a következő szakaszokban található go hunt lehetőséget:

  • Az incidens oldalán áttekintheti az incidenshez társított felhasználókkal, eszközökkel és sok más entitással kapcsolatos részleteket. Amikor kiválaszt egy entitást, további információkat és az entitáson elvégezhető különféle műveleteket kap. Az alábbi példában egy postaláda van kijelölve, amelyben a postaláda részletei és a postaláda további információinak keresésére szolgáló lehetőség látható.

    A Postaládák lap az Microsoft Defender portálOn az Ugrás keresés lehetőséggel

  • Az incidens oldalán az entitások listáját is elérheti a Bizonyítékok lapon. Ezen entitások egyikének kiválasztásával gyorsan megkeresheti az adott entitással kapcsolatos információkat.

    A Go hunt lehetőség egy bizonyítékhoz az Incidens oldalon Microsoft Defender portálon

  • Amikor megtekinti egy eszköz ütemtervét, kijelölhet egy eseményt az ütemtervben az esemény további információinak megtekintéséhez. Miután kiválasztott egy eseményt, lehetősége van más releváns eseményekre vadászni a speciális veszélyforrás-keresésben.

    A Kapcsolódó események keresése lehetőség az esemény oldalán, Microsoft Defender portál Idősorok lapján

A Go hunt vagy a Hunt for related events (Vadászat a kapcsolódó eseményekhez ) lehetőség választásával különböző lekérdezéseket adhat át attól függően, hogy egy entitást vagy egy eseményt választott-e ki.

Entitásadatok lekérdezése

A go hunt használatával lekérdezheti a felhasználóval, eszközzel vagy bármely más típusú entitással kapcsolatos információkat; a lekérdezés ellenőrzi az összes releváns sématáblát, hogy az entitást érintő események információt adjanak-e vissza. Az eredmények kezelhetőségéhez a lekérdezés a következő:

  • hatóköre körülbelül ugyanarra az időszakra terjed ki, mint az entitást érintő legkorábbi tevékenység az elmúlt 30 napban
  • az incidenshez társítva.

Íme egy példa egy eszköz go hunt lekérdezésére:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Támogatott entitástípusok

Az alábbi entitástípusok bármelyikének kiválasztása után használhatja a go hunt lehetőséget:

  • Eszközök
  • Email fürtök
  • E-mail
  • Fájlok
  • Csoportok
  • IP-címek
  • Postaládák
  • Felhasználók
  • Urls

Eseményadatok lekérdezése

Ha a go hunt használatával kérdezi le az idősoreseményekkel kapcsolatos információkat, a lekérdezés a kiválasztott esemény időpontja körüli összes kapcsolódó sématáblát ellenőrzi. Az alábbi lekérdezés például felsorolja azokat az eseményeket különböző sématáblákban, amelyek ugyanabban az időszakban történtek ugyanazon az eszközön:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

A lekérdezés módosítása

A lekérdezés nyelvének ismeretében a lekérdezést tetszése szerint módosíthatja. Módosíthatja például ezt a sort, amely meghatározza az időablak méretét:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Amellett, hogy módosítja a lekérdezést, hogy relevánsabb eredményeket kapjon, a következőket is megteheti:

Megjegyzés:

Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el Végponthoz készült Microsoft Defender. Kapcsolja be a Microsoft Defender XDR, hogy több adatforrással keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat Végponthoz készült Microsoft Defender-ról Microsoft Defender XDR-ra helyezheti át a speciális veszélyforrás-keresési lekérdezések áttelepítése Végponthoz készült Microsoft Defender.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.