Megosztás a következőn keresztül:


A lekérdezés pontosítása irányított módban

Érintett szolgáltatás:

  • Microsoft Defender XDR

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

Különböző adattípusok használata

Irányított módban a speciális veszélyforrás-keresés számos adattípust támogat, amelyekkel finomhangolhatja a lekérdezést.

  • Számok
    Képernyőkép a számokról harmadik feltételként

  • Karakterláncok
    Képernyőkép a sztringekről harmadik feltételként

    A szabad szövegmezőbe írja be az értéket, és nyomja le az Enter billentyűt a hozzáadáshoz. Vegye figyelembe, hogy az értékek közötti elválasztó az Enter.

    A különböző használható feltételeket bemutató képernyőkép

  • Logikai
    Képernyőkép a logikai értékekről harmadik feltételként

  • Datetime
    Képernyőkép a datetime értékekről harmadik feltételként

  • Zárt lista – Nem kell megjegyeznie a keresett értéket. Egyszerűen választhat a többszörös kijelölést támogató, javasolt zárt listák közül.
    Képernyőkép a harmadik feltételként használt lezárt listáról

Alcsoportok használata

Feltételek csoportjait az Alcsoport hozzáadása gombra kattintva hozhatja létre:

Képernyőkép az Alcsoport hozzáadása gomb kiemelésével

Az alcsoportok használatát bemutató képernyőkép

Az intelligens automatikus kiegészítés támogatott az eszközök és a felhasználói fiókok kereséséhez. Nem kell megjegyeznie az eszközazonosítót, a teljes eszköznevet vagy a felhasználói fiók nevét. Elkezdheti beírni a keresett eszköz vagy felhasználó első néhány karakterét, és megjelenik egy javasolt lista, amelyből kiválaszthatja, hogy mire van szüksége:

Képernyőkép az intelligens automatikus kiegészítés támogatásáról

A EventType használata

Az EventType szűrővel adott eseménytípusokat, például az összes sikertelen bejelentkezést, fájlmódosítási eseményt vagy sikeres hálózati kapcsolatot is megkereshet, ahol alkalmazható.

Ha például olyan feltételt szeretne hozzáadni, amely a beállításazonosító törlését keresi, lépjen a Beállításjegyzék eseményei szakaszra, és válassza az EventType lehetőséget.

Képernyőkép a különböző EventType-okról

Ha a Beállításjegyzék eseményei területen az EventType lehetőséget választja, különböző beállításjegyzék-események közül választhat, beleértve azt is, amelyikre keres, a BeállításjegyzékÉrték törölve.

Az EventType RegistryValueDeleted képernyőképe

Megjegyzés:

EventType az adatséma megfelelője ActionType , amelyet a speciális mód felhasználói jobban ismerhetnek.

A lekérdezés tesztelése kisebb mintamérettel

Ha még dolgozik a lekérdezésen, és szeretné gyorsan megtekinteni a teljesítményét és néhány mintaeredményt, módosítsa a visszaadott rekordok számát egy kisebb készlet kiválasztásával a Mintaméret legördülő menüben.

Képernyőkép a mintaméret legördülő menüjéről

A mintaméret alapértelmezés szerint 10 000 találatra van beállítva. Ez a vadászat során visszaadható rekordok maximális száma. Javasoljuk azonban, hogy a lekérdezés gyors teszteléséhez csökkentse a minta méretét 10-re vagy 100-ra, mivel ezzel kevesebb erőforrást használ fel, miközben a lekérdezés fejlesztésén dolgozik.

Ezután, miután véglegesíti a lekérdezést, és készen áll arra, hogy felhasználja a vadászati tevékenység összes releváns eredményének lekéréséhez, győződjön meg arról, hogy a minta mérete 10 ezerre van állítva, a maximális értékre.

Váltás speciális módra lekérdezés létrehozása után

A Szerkesztés a KQL-ben lehetőségre kattintva megtekintheti a kiválasztott feltételek által létrehozott KQL-lekérdezést. A KQL-ben végzett szerkesztés speciális módban új lapot nyit meg a megfelelő KQL-lekérdezéssel:

A Szerkesztés a KQL-ben gombot kiemelő képernyőkép

Képernyőkép, amelyen ugyanaz a lekérdezés látható az irányítotttól a speciálisig

A fenti példában a kijelölt nézet a Mind, ezért láthatja, hogy a KQL-lekérdezés az összes olyan táblában keres, amely rendelkezik a név és az SHA256 fájltulajdonságokkal, valamint a tulajdonságokat lefedő összes megfelelő oszlopban.

Ha a nézetet e-mailekre & együttműködésre módosítja, a lekérdezés a következőre lesz szűkítve:

Képernyőkép az irányított lekérdezésről a speciálisra, de korlátozott tartománnyal rendelkező lekérdezésről

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.