Esempio di ricerca avanzata per Microsoft Defender per Office 365
Si applica a:
- Microsoft Defender XDR
Iniziare a cercare le minacce tramite posta elettronica con la ricerca avanzata? Provare questi passaggi:
La guida alla distribuzione Microsoft Defender per Office 365 illustra come iniziare subito a configurare il giorno 1.
A seconda dei criteri di sicurezza predefiniti rispetto alle scelte dei criteri personalizzati, le impostazioni di eliminazione automatica a zero ore (ZAP) sono importanti per sapere se un messaggio dannoso è stato rimosso da una cassetta postale dopo il recapito.
Il passaggio rapido al linguaggio di query Kusto per rilevare problemi è un vantaggio derivante dalla convergenza di questi due centri sicurezza. I team di sicurezza possono monitorare i mancati ZAP eseguendo i passaggi successivi nel portale di Microsoft Defender in https://security.microsoft.com>Ricerca>avanzata.
Nella pagina Ricerca avanzata in https://security.microsoft.com/v2/advanced-huntingverificare che sia selezionata la scheda Nuova query .
Copiare la query seguente nella casella Query :
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
Selezionare Esegui query.
I dati di questa query vengono visualizzati nel pannello Risultati sotto la query stessa. I risultati includono informazioni come DeviceName
, AccountDisplayName
e ZapTime
in un set di risultati personalizzabile. È anche possibile esportare i risultati per i record. Per salvare la query per il riutilizzo, selezionare Salva>con nome per aggiungere la query all'elenco di query, query condivise o della community.
Informazioni correlate
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per