Keresési lekérdezések létrehozása interaktív módban a Microsoft Defender XDR
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
A lekérdezésszerkesztő interaktív módban lehetővé teszi az elemzők számára, hogy értelmes keresési lekérdezéseket készíthessenek anélkül, hogy tudnák Kusto lekérdezésnyelv (KQL) vagy az adatsémát. A lekérdezésszerkesztővel minden réteg elemzői az elmúlt 30 nap adatai alapján szűrhetnek a fenyegetések keresésére, az incidensvizsgálatok bővítésére, a fenyegetésadatokon végzett adatelemzésre, vagy adott fenyegetési területekre összpontosíthatnak.
Az elemző kiválaszthatja, hogy melyik adatkészletet, és milyen szűrőket és feltételeket használva szűkítse az adatokat a szükségesre.
Ezt a videót watch az irányított veszélyforrás-keresés áttekintéséhez:
A Lekérdezés megnyitása a Szerkesztőben
A Speciális veszélyforrás-keresés lapon válassza Létrehozás új lehetőséget egy új lekérdezési lap megnyitásához, majd válassza a Lekérdezés a szerkesztőben lehetőséget.
Ezzel az irányított módba kerül, ahol létrehozhatja a lekérdezést úgy, hogy különböző összetevőket választ ki a legördülő menük használatával.
Adja meg a keresendő adattartományt
A keresés hatókörét a lekérdezés hatókörének kiválasztásával szabályozhatja:
Az Összes lehetőséget választva az összes olyan tartomány adatait tartalmazza, amelyekhez jelenleg hozzáféréssel rendelkezik. Egy adott tartományra való leszűkítés csak az adott tartományra vonatkozó szűrőket teszi lehetővé.
A következő lehetőségek közül választhat:
- Minden tartomány – a lekérdezésben elérhető összes adat megtekintéséhez
- Végpontok – a végpontadatok Végponthoz készült Microsoft Defender
- Alkalmazások és identitások – a Microsoft Defender for Cloud Apps és Microsoft Defender for Identity által biztosított alkalmazás- és identitásadatok áttekintése; a tevékenységnaplót ismerő felhasználók itt is megtalálhatják ugyanazokat az adatokat
- Email és együttműködés – az e-mail- és együttműködési alkalmazások olyan adatainak megtekintéséhez, mint a SharePoint, a OneDrive és mások; a Veszélyforrás-kezelőt ismerő felhasználók itt is megtalálhatják ugyanazokat az adatokat
Alapszintű szűrők használata
Az irányított veszélyforrás-keresés alapértelmezés szerint tartalmaz néhány alapvető szűrőt a gyors kezdéshez.
Ha kiválaszt egy adatforrást, például végpontokat, a lekérdezésszerkesztő csak a vonatkozó szűrőcsoportokat jeleníti meg. Ezután kiválaszthatja azt a szűrőt, amelyet szeretne leszűkíteni, ha kiválasztja a szűrőcsoportot, például az EventType típust, és kiválasztja a kívánt szűrőt.
Ha a lekérdezés elkészült, kattintson a kék Lekérdezés futtatása gombra. Ha a gomb szürkítve jelenik meg, az azt jelenti, hogy a lekérdezést ki kell tölteni vagy tovább kell szerkeszteni.
Megjegyzés:
Az alapszintű szűrőnézet csak az AND operátort használja, ami azt jelenti, hogy a lekérdezés futtatása olyan eredményeket hoz létre, amelyekre az összes beállított szűrő igaz.
Mintalekérdezések betöltése
Az irányított keresés megismerésének egy másik gyors módja a mintalekérdezések betöltése a Mintalekérdezések betöltése legördülő menüvel.
Megjegyzés:
A mintalekérdezés kiválasztása felülbírálja a meglévő lekérdezést.
A mintalekérdezés betöltése után válassza a Lekérdezés futtatása lehetőséget.
Ha korábban kiválasztott egy tartományt, az elérhető mintalekérdezések listája ennek megfelelően változik.
A mintalekérdezések teljes listájának visszaállításához válassza a Minden tartomány lehetőséget, majd nyissa meg újra a Mintalekérdezések betöltése lehetőséget.
Ha a betöltött mintalekérdezés az alapszintű szűrőkészleten kívüli szűrőket használ, a váltógomb szürkén jelenik meg. Ha vissza szeretne lépni az alapszintű szűrőkészletre, válassza az Összes törlése , majd a Minden szűrő kapcsolót.
További szűrők használata
További szűrőcsoportok és feltételek megtekintéséhez válassza a Váltógombot a további szűrők és feltételek megtekintéséhez.
Ha a Minden szűrő kapcsoló aktív, mostantól a szűrők és feltételek teljes tartományát használhatja irányított módban.
Létrehozás feltételek
A lekérdezésben használni kívánt adatkészlet megadásához válassza a Szűrő kiválasztása lehetőséget. A különböző szűrőszakaszokat áttekintve megtalálhatja, hogy mi érhető el Önnek.
Írja be a szakasz címét a lista tetején található keresőmezőbe a szűrő megkereséséhez. Az információval végződő szakaszok olyan szűrőket tartalmaznak, amelyek információt nyújtanak a különböző összetevőkről, és szűrik az entitások állapotát. Az eseményekre végződő szakaszok olyan szűrőket tartalmaznak, amelyek lehetővé teszik az entitáson lévő figyelt események keresését. Ha például bizonyos eszközöket érintő tevékenységekre szeretne vadászni, az Eszközesemények szakaszban található szűrőket használhatja.
Megjegyzés:
Az alapszintű szűrők listájában nem szereplő szűrő kiválasztása inaktiválja vagy szürkén jeleníti meg a kapcsolót, hogy visszatérjen az alapszintű szűrők nézethez. A lekérdezés alaphelyzetbe állításához vagy az aktuális lekérdezés meglévő szűrőinek eltávolításához válassza az Összes törlése lehetőséget. Ez újraaktiválja az alapszintű szűrők listáját is.
Ezután állítsa be a megfelelő feltételt az adatok további szűréséhez úgy, hogy kiválasztja azokat a második legördülő menüből, és szükség esetén a harmadik legördülő menüben adja meg a bejegyzéseket:
Az AND és a VAGY feltételek használatával további feltételeket adhat a lekérdezéshez. Az ÉS olyan eredményeket ad vissza, amelyek megfelelnek a lekérdezés összes feltételének, míg a VAGY a lekérdezésben szereplő feltételek bármelyikének megfelelő eredményeket ad vissza.
A lekérdezés pontosítása lehetővé teszi, hogy automatikusan átszűrje a terjedelmes rekordokat, hogy létrehozhassa az adott veszélyforrás-keresési igénynek megfelelő találatok listáját.
Ha szeretné megtudni, hogy milyen adattípusokat támogat a rendszer, és milyen egyéb interaktív módokkal segíti a lekérdezés finomhangolását, olvassa el a Lekérdezés pontosítása irányított módban című témakört.
Mintalekérdezési útmutatók kipróbálása
Az irányított keresés megismerésének egy másik módja az irányított módban előre létrehozott mintalekérdezések betöltése.
A veszélyforrás-keresés lap Első lépések szakaszában három interaktív lekérdezési példát mutattunk be, amelyeket betölthet. A lekérdezési példák azokat a leggyakoribb szűrőket és bemeneteket tartalmazzák, amelyekre általában szükség lenne a veszélyforrás-keresés során. A három mintalekérdezés bármelyikének betöltése interaktív bemutatót nyit meg arról, hogyan hozhatja létre a bejegyzést interaktív módban.
A lekérdezés létrehozásához kövesse a kék tanítási buborékok utasításait. Válassza a Lekérdezés futtatása lehetőséget.
Próbáljon ki néhány lekérdezést
Adott IP-cím sikeres kapcsolatainak keresése
Ha egy adott IP-címre szeretne sikeres hálózati kommunikációt keresni, kezdje el beírni az "ip" szót a javasolt szűrők lekéréséhez:
Ha olyan eseményeket szeretne keresni, amelyek egy adott IP-címet érintenek, ahol az IP-cím a kommunikáció célja, válassza DestinationIPAddress
az IP-címes események szakaszt. Ezután válassza ki az egyenlő operátort . Írja be az IP-címet a harmadik legördülő menübe, és nyomja le az Enter billentyűt:
Ezután egy második feltétel hozzáadásához, amely sikeres hálózati kommunikációs eseményeket keres, keressen rá egy adott eseménytípus szűrőére:
Az EventType szűrő a különböző naplózott eseménytípusokat keresi. Ez egyenértékű az ActionType oszloppal, amely a speciális veszélyforrás-keresés legtöbb táblájában megtalálható. Jelölje ki, ha ki szeretne választani egy vagy több eseménytípust, amelyre szűrni szeretne. A sikeres hálózati kommunikációs események kereséséhez bontsa ki a DeviceNetworkEvents szakaszt, majd válassza a ConnectionSuccess
lehetőséget:
Végül válassza a Lekérdezés futtatása lehetőséget az 52.168.117.170 IP-címre irányuló összes sikeres hálózati kommunikáció kereséséhez:
A Beérkezett üzenetek mappába küldött megbízható adathalász vagy levélszemét-e-mailek keresése
Ha meg szeretné keresni az összes megbízható adathalász és levélszemét e-mailt, amely a kézbesítés időpontjában a Beérkezett üzenetek mappába került, először válassza a Megbízhatósági szint elemet az Email Események területen, válassza az egyenlő lehetőséget, majd válassza a Magas lehetőséget az Adathalászat és a Levélszemét csoportban a többszörös kiválasztást támogató javasolt zárt listában:
Ezután adjon hozzá egy másik feltételt, ezúttal adja meg a mappát vagy a DeliveryLocation, a Beérkezett üzenetek/mappa értéket.
Lásd még
- A lekérdezés pontosítása irányított módban
- Lekérdezési eredmények használata irányított módban
- A séma értelmezése
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.