A speciális veszélyforrás-keresési lekérdezési nyelv elsajátítása

  • Cikk
  • 5 perc alatt elolvasható

Megjegyzés:

Szeretne Microsoft 365 Defender tapasztalni? További információ arról, hogyan értékelheti ki és tesztelheti a Microsoft 365 Defender.

Érintett szolgáltatás:

  • Microsoft 365 Defender

A speciális veszélyforrás-keresés a Kusto lekérdezési nyelvén alapul. A Kusto-operátorok és -utasítások használatával olyan lekérdezéseket hozhat létre, amelyek egy speciális sémában keresnek információt.

Ebből a rövid videóból megismerhet néhány hasznos Kusto-lekérdezési nyelvet.

A fogalmak jobb megértéséhez futtassa az első lekérdezést.

Próbálja ki az első lekérdezést

A Microsoft 365 Defender portálon lépjen a Veszélyforrás-keresés elemre az első lekérdezés futtatásához. Használja az alábbi példát:

// Finds PowerShell execution events that could involve a download
union DeviceProcessEvents, DeviceNetworkEvents
| where Timestamp > ago(7d)
// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")
// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
 "DownloadFile",
 "DownloadData",
 "DownloadString",
"WebRequest",
"Shellcode",
"http",
"https")
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, 
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp

A lekérdezés futtatása speciális veszélyforrás-keresésben

A lekérdezés elejéhez hozzáadtunk egy rövid megjegyzést, amely leírja, hogy mire való. Ez a megjegyzés segít, ha később úgy dönt, hogy menti a lekérdezést, és megosztja másokkal a szervezetében.

// Finds PowerShell execution events that could involve a download

Maga a lekérdezés általában egy táblanévvel kezdődik, amelyet több elem követ, amelyek egy folyamattal (|) kezdődnek. Ebben a példában először létrehozunk egy két táblából álló egyesítést, DeviceProcessEvents és DeviceNetworkEventsszükség szerint hozzáadjuk a piped elemeket.

union DeviceProcessEvents, DeviceNetworkEvents

Az időtartomány beállítása

Az első piped elem egy időszűrő, amely az előző hét napra terjed ki. Az időtartomány korlátozásával biztosítható, hogy a lekérdezések megfelelően teljesíthessenek, kezelhető eredményeket adjanak vissza, és ne legyenek időtúllépések.

| where Timestamp > ago(7d)

Adott folyamatok ellenőrzése

Az időtartományt azonnal a PowerShell-alkalmazást jelölő folyamatfájlnevek keresése követi.

// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")

Adott parancssztringek keresése

Ezt követően a lekérdezés parancssorokban keres sztringeket, amelyeket általában a Fájlok letöltése a PowerShell használatával használnak.

// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
    "DownloadFile",
    "DownloadData",
    "DownloadString",
    "WebRequest",
    "Shellcode",
    "http",
    "https")

Eredményoszlopok és -hossz testreszabása

Most, hogy a lekérdezés egyértelműen azonosítja a megkeresni kívánt adatokat, megadhatja, hogyan néznek ki az eredmények. project adott oszlopokat ad vissza, és top korlátozza az eredmények számát. Ezek az operátorok segítenek biztosítani, hogy az eredmények megfelelően formázva legyenek, és ésszerűen nagyok és könnyen feldolgozhatók legyenek.

| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, 
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp

Az eredmények megtekintéséhez válassza a Lekérdezés futtatása lehetőséget.

Tipp

A lekérdezési eredményeket diagramként tekintheti meg, és gyorsan módosíthatja a szűrőket. Útmutatásért olvassa el a lekérdezési eredményekről szóló cikket.

Gyakori lekérdezési operátorok ismertetése

Most futtatta az első lekérdezést, és általános képet ad az összetevőiről. Itt az ideje, hogy kicsit visszalépjen, és megtanuljon néhány alapismeretet. A speciális veszélyforrás-keresés által használt Kusto lekérdezési nyelv számos operátort támogat, köztük az alábbi gyakoriakat.

Üzemeltető Leírás és használat
where Szűrjön egy táblát a predikátumnak megfelelő sorok részhalmazára.
summarize Hozzon létre egy táblát, amely összesíti a bemeneti tábla tartalmát.
join Két tábla sorainak egyesítése új tábla létrehozásához az egyes táblákban megadott oszlop(ok) értékeinek egyeztetésével. Ebből a cikkből megtudhatja, hogyan csatlakozhat táblákhoz a KQL-ben .
count A bemeneti rekordhalmaz rekordjainak számát adja vissza.
top Az első N rekordot adja vissza a megadott oszlopok szerint rendezve.
limit Adja vissza a megadott számú sort.
project Jelölje ki a belefoglalni, átnevezni vagy elvetni kívánt oszlopokat, és szúrjon be új számított oszlopokat.
extend Számított oszlopok létrehozása és hozzáfűzése az eredményhalmazhoz.
makeset Visszaadja az Expr által a csoportba foglalt egyedi értékekből álló dinamikus (JSON-) tömböt.
find Megkeresi azokat a sorokat, amelyek egy táblakészlet predikátumának felelnek meg.

Ha élő példát szeretne látni ezekre az operátorokra, futtassa őket a speciális veszélyforrás-keresés Első lépések szakaszában.

Az adattípusok ismertetése

A speciális veszélyforrás-keresés a Kusto-adattípusokat támogatja, beleértve a következő gyakori típusokat:

Adattípus Leírás és lekérdezési következmények
datetime Az adatok és az időadatok általában esemény-időbélyegeket jelölnek. A támogatott dátum/idő formátumok megtekintése
string Karaktersztring az UTF-8-ban, szimpla idézőjelek (') vagy dupla idézőjelek (") között. További információ a sztringekről
bool Ez az adattípus támogatja vagy false állapotot.true Lásd: támogatott literálok és operátorok
int 32 bites egész szám
long 64 bites egész szám

Ha többet szeretne megtudni ezekről az adattípusokról, olvassa el a Kusto skaláris adattípusait ismertető cikket.

Segítség kérése lekérdezések írásakor

A lekérdezések gyorsabb írásához használja ki az alábbi funkciókat:

  • Automatikus frissítés – lekérdezések írása közben a speciális veszélyforrás-keresés javaslatokat nyújt az IntelliSense-től.
  • Sémafa – a munkaterület mellett található a táblák és oszlopaik listáját tartalmazó sémaábrázolás. További információkért vigye az egérmutatót egy elem fölé. Dupla kattintással szúrja be az elemet a lekérdezésszerkesztőbe.
  • Sémahivatkozás – a portálon belüli hivatkozás tábla- és oszlopleírásokkal, valamint támogatott eseménytípusokkal (ActionType értékekkel) és mintalekérdezésekkel

Több lekérdezéssel végzett munka a szerkesztőben

A lekérdezésszerkesztővel több lekérdezéssel is kísérletezhet. Több lekérdezés használata:

  • Különítse el az egyes lekérdezéseket üres sorokkal.
  • Helyezze a kurzort a lekérdezés bármely részére a lekérdezés futtatása előtt történő kiválasztásához. Ez csak a kijelölt lekérdezést futtatja. Másik lekérdezés futtatásához mozgassa a kurzort ennek megfelelően, és válassza a Lekérdezés futtatása lehetőséget.

Példa több lekérdezés végrehajtására az Microsoft 365 Defender portál **Új lekérdezés** lapján

A hatékonyabb munkaterület érdekében több lapot is használhat ugyanazon a veszélyforrás-keresési oldalon. Válassza az Új lekérdezés lehetőséget az új lekérdezés lapjának megnyitásához.

Új lap megnyitásához válassza az Új létrehozása speciális veszélyforrás-keresésben lehetőséget a Microsoft 365 Defender portálon

Ezután anélkül futtathat különböző lekérdezéseket, hogy új böngészőlapot nyitna meg.

Különböző lekérdezések futtatása anélkül, hogy elhagyná a speciális veszélyforrás-keresés lapját a Microsoft 365 Defender portálon

Megjegyzés:

Ha több böngészőlapot használ speciális veszélyforrás-kereséssel, elveszhetnek a nem mentett lekérdezések. Ennek elkerülése érdekében használja a speciális veszélyforrás-keresés lapfunkcióját külön böngészőlapok helyett.

Mintalekérdezések használata

Az Első lépések szakasz néhány egyszerű lekérdezést tartalmaz, amelyek gyakran használt operátorokat használnak. Próbálja meg futtatni ezeket a lekérdezéseket, és kisebb módosításokat végez rajtuk.

A **Speciális veszélyforrás-keresés** lap **Első lépések** szakasza a Microsoft 365 Defender portálon

Megjegyzés:

Az alapszintű lekérdezésmintákon kívül adott veszélyforrás-keresési forgatókönyvekhez is hozzáférhet a megosztott lekérdezésekhez . A lap bal oldalán vagy a GitHub lekérdezési adattárában található megosztott lekérdezések megismerése.

Az Access lekérdezési nyelv dokumentációja

További információ a Kusto lekérdezési nyelvéről és a támogatott operátorokról: A Kusto lekérdezési nyelv dokumentációja.

Megjegyzés:

Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el Végponthoz készült Microsoft Defender. Kapcsolja be a Microsoft 365 Defender, hogy több adatforrással keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat Végponthoz készült Microsoft Defender-ről Microsoft 365 Defender-ra helyezheti át a speciális veszélyforrás-keresési lekérdezések áttelepítése Végponthoz készült Microsoft Defender.