Speciális keresési lekérdezési eredmények
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
A speciális veszélyforrás-keresési lekérdezéseket létrehozhatja pontos információk visszaadására, de a lekérdezés eredményeivel is dolgozhat, hogy további megállapításokat nyerjen, és konkrét tevékenységeket és mutatókat vizsgáljon meg. A lekérdezés eredményein a következő műveleteket hajthatja végre:
- Eredmények megtekintése táblázatként vagy diagramként
- Táblázatok és diagramok exportálása
- Részletes entitásadatok részletezés
- A lekérdezések finomhangolása közvetlenül az eredményekből
Lekérdezési eredmények megtekintése táblázatként vagy diagramként
A speciális veszélyforrás-keresés alapértelmezés szerint táblázatos adatokként jeleníti meg a lekérdezési eredményeket. Ugyanazokat az adatokat is megjelenítheti, mint a diagramok. A speciális veszélyforrás-keresés a következő nézeteket támogatja:
| Nézet típusa | Leírás |
|---|---|
| Asztal | Táblázatos formátumban jeleníti meg a lekérdezési eredményeket |
| Oszlopdiagram | Egyedi elemek sorozatát jeleníti meg az x tengelyen függőleges sávként, amelyek magassága egy másik mező numerikus értékeit jelöli |
| Kördiagram | Egyedi elemeket jelölő szakaszos kördiagramokat jelenít meg. Az egyes kördiagramok mérete egy másik mező numerikus értékeit jelöli. |
| Vonaldiagram | Numerikus értékeket ábrázol egyedi elemek sorozatához, és összekapcsolja a ábrázolt értékeket |
| Pontdiagram | Egyedi elemek sorozatának numerikus értékeit ábrázolja |
| Területdiagram | Egyedi elemek sorozatának numerikus értékeit ábrázolja, és kitölti a ábrázolt értékek alatti szakaszokat |
| Halmozott területdiagram | Egyedi elemek sorozatának numerikus értékeit ábrázolja, a kitöltött szakaszokat pedig halmozva a felrajzolt értékek alatt |
| Idődiagram | Értékek ábrázolása darabszám alapján lineáris időskálán |
Lekérdezések létrehozása hatékony diagramokhoz
Diagramok renderelésekor a speciális veszélyforrás-keresés automatikusan azonosítja a fontos oszlopokat és az összesítendő numerikus értékeket. Ha értelmes diagramokat szeretne kapni, hozza létre a lekérdezéseket, hogy visszaadja a vizualizációban megjeleníteni kívánt értékeket. Íme néhány mintalekérdezés és az eredményként kapott diagramok.
Riasztások súlyosság szerint
summarize Az operátorral lekérte a diagramon ábrázolni kívánt értékek numerikus számát. Az alábbi lekérdezés az summarize operátort használja a riasztások számának súlyosság szerinti lekéréséhez.
AlertInfo
| summarize Total = count() by Severity
Az eredmények megjelenítésekor az oszlopdiagram az egyes súlyossági értékeket külön oszlopként jeleníti meg:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Adathalász e-mailek az első tíz küldőtartományban
Ha nem véges értéklistával dolgozik, az Top operátorral csak a legtöbb példánnyal rendelkező értékeket ábrázolhatja. Ha például a legtöbb adathalász e-mailt tartalmazó első 10 feladó tartományt szeretné lekérni, használja az alábbi lekérdezést:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
A kördiagram nézetben hatékonyan jelenítheti meg az eloszlást a felső tartományok között:
Fájltevékenységek az idő múlásával
summarize Az operátort a bin() függvénnyel használva ellenőrizheti az adott jelzővel rendelkező eseményeket az idő múlásával. Az alábbi lekérdezés 30 perces időközönként számlálja meg a fájlt invoice.doc érintő eseményeket, hogy megjelenjenek a fájlhoz kapcsolódó tevékenységek csúcsai:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
Az alábbi vonaldiagram egyértelműen kiemeli azokat az időszakokat, amelyek több tevékenységet foglalnak magukban invoice.doc:
Táblázatok és diagramok exportálása
A lekérdezés futtatása után válassza az Exportálás lehetőséget az eredmények helyi fájlba mentéséhez. A választott nézet határozza meg az eredmények exportálásának módját:
- Táblázatos nézet – A lekérdezés eredményei táblázatos formában, Microsoft Excel-munkafüzetként lesznek exportálva
- Bármely diagram – A lekérdezés eredményei a renderelt diagram JPEG-képeként lesznek exportálva
Eredmények szűrése
A lekérdezés futtatása után válassza a Szűrő lehetőséget az eredmények szűkítéséhez.
Szűrő hozzáadásához jelölje be azokat az adatokat, amelyeket szűrni szeretne egy vagy több jelölőnégyzet bejelölésével. Ezután válassza a Hozzáadás lehetőséget.
Az újonnan hozzáadott szűrő kiválasztásával még tovább szűkítheti az eredményeket adott adatokra.
Ekkor megnyílik egy legördülő lista, amely a további felhasználható szűrőket mutatja. Jelöljön be egy vagy több jelölőnégyzetet, majd válassza az Alkalmaz lehetőséget.
A Szűrők szakaszban ellenőrizze, hogy hozzáadta-e a kívánt szűrőket.
Lehatolás a lekérdezés eredményeiből
Az eredményeket az alábbi funkciókkal összhangban is megvizsgálhatja:
- Az eredmények kibontásához válassza az egyes találatok bal oldalán található legördülő nyilat
- Adott esetben bontsa ki a JSON- és tömbformátumú eredmények részleteit a megfelelő oszlopnevek bal oldalán található legördülő nyíllal a jobb olvashatóság érdekében
- Nyissa meg az oldalsó panelt egy rekord részleteinek megtekintéséhez (egyidejűleg kibontott sorokkal)
A jobb gombbal egy sor eredményértékére is kattinthat, így további szűrőket adhat hozzá a meglévő lekérdezéshez, vagy átmásolhatja az értéket a további vizsgálathoz.
Továbbá JSON- és tömbmezők esetén a jobb gombbal kattintva és frissítve frissítheti a meglévő lekérdezést, hogy belefoglalja vagy kizárja a mezőt, vagy kiterjesztheti a mezőt egy új oszlopra.
Ha gyorsan meg szeretne vizsgálni egy rekordot a lekérdezés eredményeiben, válassza ki a megfelelő sort a Rekord vizsgálata panel megnyitásához. A panel a következő információkat biztosítja a kiválasztott rekord alapján:
- Eszközök – A rekordban található fő eszközök (postaládák, eszközök és felhasználók) összesített nézete, amely a rendelkezésre álló információkkal, például a kockázati és expozíciós szintekkel bővült
- Minden részlet – A rekord oszlopainak összes értéke
Ha további információt szeretne megtekinteni egy adott entitásról a lekérdezés eredményeiben, például egy gépről, fájlról, felhasználóról, IP-címről vagy URL-címről, válassza ki az entitás azonosítóját az entitás részletes profillapjának megnyitásához.
A lekérdezések finomhangolása az eredmények alapján
Válassza a Rekord vizsgálata panel bármely oszlopától jobbra található három pontot. A következő lehetőségek közül választhat:
- A kijelölt érték explicit keresése (
==) - A kijelölt érték kizárása a lekérdezésből (
!=) - Speciálisabb operátorok lekérése az érték lekérdezéshez való hozzáadásához, például
contains,starts withésends with
Megjegyzés:
Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el a Végponthoz készült Microsoft Defenderben. Kapcsolja be a Microsoft Defender XDR-t , hogy több adatforrás használatával keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat a Végponthoz készült Microsoft Defenderből a Microsoft Defender XDR-be helyezheti át a Speciális veszélyforrás-keresési lekérdezések migrálása a Végponthoz készült Microsoft Defenderből című cikk lépéseit követve.
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
- Egyéni észlelések áttekintése
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.