A lekérdezés pontosítása irányított módban
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.
Különböző adattípusok használata
Irányított módban a speciális veszélyforrás-keresés számos adattípust támogat, amelyekkel finomhangolhatja a lekérdezést.
Számok
Karakterláncok
A szabad szövegmezőbe írja be az értéket, és nyomja le az Enter billentyűt a hozzáadáshoz. Vegye figyelembe, hogy az értékek közötti elválasztó az Enter.
Logikai
Datetime
Zárt lista – Nem kell megjegyeznie a keresett értéket. Egyszerűen választhat a többszörös kijelölést támogató, javasolt zárt listák közül.
Alcsoportok használata
Feltételek csoportjait az Alcsoport hozzáadása gombra kattintva hozhatja létre:
Intelligens automatikus kiegészítés használata kereséshez
Az intelligens automatikus kiegészítés támogatott az eszközök és a felhasználói fiókok kereséséhez. Nem kell megjegyeznie az eszközazonosítót, a teljes eszköznevet vagy a felhasználói fiók nevét. Elkezdheti beírni a keresett eszköz vagy felhasználó első néhány karakterét, és megjelenik egy javasolt lista, amelyből kiválaszthatja, hogy mire van szüksége:
A EventType
használata
Az EventType szűrővel adott eseménytípusokat, például az összes sikertelen bejelentkezést, fájlmódosítási eseményt vagy sikeres hálózati kapcsolatot is megkereshet, ahol alkalmazható.
Ha például olyan feltételt szeretne hozzáadni, amely a beállításazonosító törlését keresi, lépjen a Beállításjegyzék eseményei szakaszra, és válassza az EventType lehetőséget.
Ha a Beállításjegyzék eseményei területen az EventType lehetőséget választja, különböző beállításjegyzék-események közül választhat, beleértve azt is, amelyikre keres, a BeállításjegyzékÉrték törölve.
Megjegyzés:
EventType
az adatséma megfelelője ActionType
, amelyet a speciális mód felhasználói jobban ismerhetnek.
A lekérdezés tesztelése kisebb mintamérettel
Ha még dolgozik a lekérdezésen, és szeretné gyorsan megtekinteni a teljesítményét és néhány mintaeredményt, módosítsa a visszaadott rekordok számát egy kisebb készlet kiválasztásával a Mintaméret legördülő menüben.
A mintaméret alapértelmezés szerint 10 000 találatra van beállítva. Ez a vadászat során visszaadható rekordok maximális száma. Javasoljuk azonban, hogy a lekérdezés gyors teszteléséhez csökkentse a minta méretét 10-re vagy 100-ra, mivel ezzel kevesebb erőforrást használ fel, miközben a lekérdezés fejlesztésén dolgozik.
Ezután, miután véglegesíti a lekérdezést, és készen áll arra, hogy felhasználja a vadászati tevékenység összes releváns eredményének lekéréséhez, győződjön meg arról, hogy a minta mérete 10 ezerre van állítva, a maximális értékre.
Váltás speciális módra lekérdezés létrehozása után
A Szerkesztés a KQL-ben lehetőségre kattintva megtekintheti a kiválasztott feltételek által létrehozott KQL-lekérdezést. A KQL-ben végzett szerkesztés speciális módban új lapot nyit meg a megfelelő KQL-lekérdezéssel:
A fenti példában a kijelölt nézet a Mind, ezért láthatja, hogy a KQL-lekérdezés az összes olyan táblában keres, amely rendelkezik a név és az SHA256 fájltulajdonságokkal, valamint a tulajdonságokat lefedő összes megfelelő oszlopban.
Ha a nézetet e-mailekre & együttműködésre módosítja, a lekérdezés a következőre lesz szűkítve:
Lásd még
- Speciális veszélyforrás-keresési kvóták és használati paraméterek
- Speciális veszélyforrás-keresési lefedettség kiterjesztése a megfelelő beállításokkal
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.