Megosztás a következőn keresztül:


Keresési lekérdezések létrehozása interaktív módban a Microsoft Defender XDR

Érintett szolgáltatás:

  • Microsoft Defender XDR

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A lekérdezésszerkesztő interaktív módban lehetővé teszi az elemzők számára, hogy értelmes keresési lekérdezéseket készíthessenek anélkül, hogy tudnák Kusto lekérdezésnyelv (KQL) vagy az adatsémát. A lekérdezésszerkesztővel minden réteg elemzői az elmúlt 30 nap adatai alapján szűrhetnek a fenyegetések keresésére, az incidensvizsgálatok bővítésére, a fenyegetésadatokon végzett adatelemzésre, vagy adott fenyegetési területekre összpontosíthatnak.

Az elemző kiválaszthatja, hogy melyik adatkészletet, és milyen szűrőket és feltételeket használva szűkítse az adatokat a szükségesre.

Ezt a videót watch az irányított veszélyforrás-keresés áttekintéséhez:

A Lekérdezés megnyitása a Szerkesztőben

A Speciális veszélyforrás-keresés lapon válassza Létrehozás új lehetőséget egy új lekérdezési lap megnyitásához, majd válassza a Lekérdezés a szerkesztőben lehetőséget.

Képernyőkép az interaktív módú lekérdezésszerkesztőről

Ezzel az irányított módba kerül, ahol létrehozhatja a lekérdezést úgy, hogy különböző összetevőket választ ki a legördülő menük használatával.

Adja meg a keresendő adattartományt

A keresés hatókörét a lekérdezés hatókörének kiválasztásával szabályozhatja:

Képernyőkép az irányított módú lekérdezésszerkesztő tartományainak legördülő listájáról

Az Összes lehetőséget választva az összes olyan tartomány adatait tartalmazza, amelyekhez jelenleg hozzáféréssel rendelkezik. Egy adott tartományra való leszűkítés csak az adott tartományra vonatkozó szűrőket teszi lehetővé.

A következő lehetőségek közül választhat:

  • Minden tartomány – a lekérdezésben elérhető összes adat megtekintéséhez
  • Végpontok – a végpontadatok Végponthoz készült Microsoft Defender
  • Alkalmazások és identitások – a Microsoft Defender for Cloud Apps és Microsoft Defender for Identity által biztosított alkalmazás- és identitásadatok áttekintése; a tevékenységnaplót ismerő felhasználók itt is megtalálhatják ugyanazokat az adatokat
  • Email és együttműködés – az e-mail- és együttműködési alkalmazások olyan adatainak megtekintéséhez, mint a SharePoint, a OneDrive és mások; a Veszélyforrás-kezelőt ismerő felhasználók itt is megtalálhatják ugyanazokat az adatokat

Alapszintű szűrők használata

Az irányított veszélyforrás-keresés alapértelmezés szerint tartalmaz néhány alapvető szűrőt a gyors kezdéshez.

Képernyőkép az irányított módú lekérdezésszerkesztő alapszintű szűrőkészletéről

Ha kiválaszt egy adatforrást, például végpontokat, a lekérdezésszerkesztő csak a vonatkozó szűrőcsoportokat jeleníti meg. Ezután kiválaszthatja azt a szűrőt, amelyet szeretne leszűkíteni, ha kiválasztja a szűrőcsoportot, például az EventType típust, és kiválasztja a kívánt szűrőt.

Képernyőkép az interaktív módú lekérdezésszerkesztő végpontjának alapszintű szűrőkészletéről

Ha a lekérdezés elkészült, kattintson a kék Lekérdezés futtatása gombra. Ha a gomb szürkítve jelenik meg, az azt jelenti, hogy a lekérdezést ki kell tölteni vagy tovább kell szerkeszteni.

Megjegyzés:

Az alapszintű szűrőnézet csak az AND operátort használja, ami azt jelenti, hogy a lekérdezés futtatása olyan eredményeket hoz létre, amelyekre az összes beállított szűrő igaz.

Mintalekérdezések betöltése

Az irányított keresés megismerésének egy másik gyors módja a mintalekérdezések betöltése a Mintalekérdezések betöltése legördülő menüvel. Képernyőkép az interaktív módú lekérdezésszerkesztő mintalekérdezések listájáról

Megjegyzés:

A mintalekérdezés kiválasztása felülbírálja a meglévő lekérdezést.

A mintalekérdezés betöltése után válassza a Lekérdezés futtatása lehetőséget.

Képernyőkép az interaktív módú lekérdezésszerkesztő betöltött lekérdezéséről

Ha korábban kiválasztott egy tartományt, az elérhető mintalekérdezések listája ennek megfelelően változik.

Képernyőkép az interaktív módú lekérdezésszerkesztő korlátozott listájáról

A mintalekérdezések teljes listájának visszaállításához válassza a Minden tartomány lehetőséget, majd nyissa meg újra a Mintalekérdezések betöltése lehetőséget.

Ha a betöltött mintalekérdezés az alapszintű szűrőkészleten kívüli szűrőket használ, a váltógomb szürkén jelenik meg. Ha vissza szeretne lépni az alapszintű szűrőkészletre, válassza az Összes törlése , majd a Minden szűrő kapcsolót.

További szűrők használata

További szűrőcsoportok és feltételek megtekintéséhez válassza a Váltógombot a további szűrők és feltételek megtekintéséhez.

Képernyőkép az irányított módú lekérdezésszerkesztő további szűrőinek kapcsolóról

Ha a Minden szűrő kapcsoló aktív, mostantól a szűrők és feltételek teljes tartományát használhatja irányított módban.

Képernyőkép az interaktív módú lekérdezésszerkesztőről, amely az összes aktív szűrőt megjeleníti

Létrehozás feltételek

A lekérdezésben használni kívánt adatkészlet megadásához válassza a Szűrő kiválasztása lehetőséget. A különböző szűrőszakaszokat áttekintve megtalálhatja, hogy mi érhető el Önnek.

Képernyőkép a különböző használható szűrőkről

Írja be a szakasz címét a lista tetején található keresőmezőbe a szűrő megkereséséhez. Az információval végződő szakaszok olyan szűrőket tartalmaznak, amelyek információt nyújtanak a különböző összetevőkről, és szűrik az entitások állapotát. Az eseményekre végződő szakaszok olyan szűrőket tartalmaznak, amelyek lehetővé teszik az entitáson lévő figyelt események keresését. Ha például bizonyos eszközöket érintő tevékenységekre szeretne vadászni, az Eszközesemények szakaszban található szűrőket használhatja.

Megjegyzés:

Az alapszintű szűrők listájában nem szereplő szűrő kiválasztása inaktiválja vagy szürkén jeleníti meg a kapcsolót, hogy visszatérjen az alapszintű szűrők nézethez. A lekérdezés alaphelyzetbe állításához vagy az aktuális lekérdezés meglévő szűrőinek eltávolításához válassza az Összes törlése lehetőséget. Ez újraaktiválja az alapszintű szűrők listáját is.

Ezután állítsa be a megfelelő feltételt az adatok további szűréséhez úgy, hogy kiválasztja azokat a második legördülő menüből, és szükség esetén a harmadik legördülő menüben adja meg a bejegyzéseket:

A különböző használható feltételeket bemutató képernyőkép

Az AND és a VAGY feltételek használatával további feltételeket adhat a lekérdezéshez. Az ÉS olyan eredményeket ad vissza, amelyek megfelelnek a lekérdezés összes feltételének, míg a VAGY a lekérdezésben szereplő feltételek bármelyikének megfelelő eredményeket ad vissza.

Képernyőkép az AND OR operátorról

A lekérdezés pontosítása lehetővé teszi, hogy automatikusan átszűrje a terjedelmes rekordokat, hogy létrehozhassa az adott veszélyforrás-keresési igénynek megfelelő találatok listáját.

Ha szeretné megtudni, hogy milyen adattípusokat támogat a rendszer, és milyen egyéb interaktív módokkal segíti a lekérdezés finomhangolását, olvassa el a Lekérdezés pontosítása irányított módban című témakört.

Mintalekérdezési útmutatók kipróbálása

Az irányított keresés megismerésének egy másik módja az irányított módban előre létrehozott mintalekérdezések betöltése.

A veszélyforrás-keresés lap Első lépések szakaszában három interaktív lekérdezési példát mutattunk be, amelyeket betölthet. A lekérdezési példák azokat a leggyakoribb szűrőket és bemeneteket tartalmazzák, amelyekre általában szükség lenne a veszélyforrás-keresés során. A három mintalekérdezés bármelyikének betöltése interaktív bemutatót nyit meg arról, hogyan hozhatja létre a bejegyzést interaktív módban.

Képernyőkép az interaktív módú lekérdezésszerkesztő első lépéseinek lekérdezési útmutatóiról

A lekérdezés létrehozásához kövesse a kék tanítási buborékok utasításait. Válassza a Lekérdezés futtatása lehetőséget.

Próbáljon ki néhány lekérdezést

Adott IP-cím sikeres kapcsolatainak keresése

Ha egy adott IP-címre szeretne sikeres hálózati kommunikációt keresni, kezdje el beírni az "ip" szót a javasolt szűrők lekéréséhez:

Képernyőkép az irányított módú lekérdezésszerkesztő adott ELSŐ IP-szűrővel való sikeres kapcsolatainak kereséséről

Ha olyan eseményeket szeretne keresni, amelyek egy adott IP-címet érintenek, ahol az IP-cím a kommunikáció célja, válassza DestinationIPAddress az IP-címes események szakaszt. Ezután válassza ki az egyenlő operátort . Írja be az IP-címet a harmadik legördülő menübe, és nyomja le az Enter billentyűt:

Képernyőkép az irányított módú lekérdezésszerkesztő adott IP-címhez való sikeres kapcsolatainak kereséséről

Ezután egy második feltétel hozzáadásához, amely sikeres hálózati kommunikációs eseményeket keres, keressen rá egy adott eseménytípus szűrőére:

Képernyőkép az irányított módú lekérdezésszerkesztő adott IP-címhez való sikeres kapcsolatkereséséről, második feltétel

Az EventType szűrő a különböző naplózott eseménytípusokat keresi. Ez egyenértékű az ActionType oszloppal, amely a speciális veszélyforrás-keresés legtöbb táblájában megtalálható. Jelölje ki, ha ki szeretne választani egy vagy több eseménytípust, amelyre szűrni szeretne. A sikeres hálózati kommunikációs események kereséséhez bontsa ki a DeviceNetworkEvents szakaszt, majd válassza a ConnectionSuccesslehetőséget:

Képernyőkép az interaktív módú lekérdezésszerkesztő adott IP-cím harmadik feltételével való sikeres kapcsolatok kereséséről

Végül válassza a Lekérdezés futtatása lehetőséget az 52.168.117.170 IP-címre irányuló összes sikeres hálózati kommunikáció kereséséhez:

Képernyőkép az irányított módú lekérdezésszerkesztő adott IP-eredmények nézetével való sikeres kapcsolatok kereséséről

A Beérkezett üzenetek mappába küldött megbízható adathalász vagy levélszemét-e-mailek keresése

Ha meg szeretné keresni az összes megbízható adathalász és levélszemét e-mailt, amely a kézbesítés időpontjában a Beérkezett üzenetek mappába került, először válassza a Megbízhatósági szint elemet az Email Események területen, válassza az egyenlő lehetőséget, majd válassza a Magas lehetőséget az Adathalászat és a Levélszemét csoportban a többszörös kiválasztást támogató javasolt zárt listában:

Képernyőkép az irányított módú lekérdezésszerkesztőről, amely nagy megbízhatóságú adathalász vagy levélszemét e-maileket keres a Beérkezett üzenetek mappába, első feltétel

Ezután adjon hozzá egy másik feltételt, ezúttal adja meg a mappát vagy a DeliveryLocation, a Beérkezett üzenetek/mappa értéket.

Képernyőkép az irányított módú lekérdezésszerkesztőről, amely nagy megbízhatóságú adathalász vagy levélszemét e-maileket keres a Beérkezett üzenetek mappába, második feltétel

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.