Ottenere una formazione di esperti sulla ricerca avanzata
Si applica a:
- Microsoft Defender XDR
Aumenta rapidamente la tua conoscenza della caccia avanzata con Tracking the adversary, una serie di webcast per nuovi analisti della sicurezza e esperti cacciatori di minacce. La serie illustra le nozioni di base fino alla creazione di query sofisticate. Inizia con il primo video sui concetti fondamentali o passa a video più avanzati adatti al tuo livello di esperienza.
| Titolo | Descrizione | Guarda | Query |
|---|---|---|---|
| Episodio 1: Concetti fondamentali di KQL | Questo episodio copre le basi della caccia avanzata in Microsoft Defender XDR. Informazioni sui dati di ricerca avanzati disponibili e sugli operatori e sintassi KQL di base. | YouTube (54:14) | File di testo |
| Episodio 2: Si unisce | Continuare a conoscere i dati nella ricerca avanzata e come unire le tabelle. Informazioni su inner, outer, uniquee join e semi informazioni sulle sfumature del join Kusto innerunique predefinito. |
YouTube (53:33) | File di testo |
| Episodio 3: Riepilogo, pivot e visualizzazione dei dati | Ora che si è appreso come filtrare, modificare e unire i dati, è necessario riepilogare, quantificare, pivot e visualizzare. Questo episodio illustra l'operatore summarize e vari calcoli, introducendo al tempo stesso tabelle aggiuntive nello schema. Si apprenderà anche come trasformare i set di dati in grafici che consentono di estrarre informazioni dettagliate. |
YouTube (48:52) | File di testo |
| Episodio 4: Andiamo a caccia! Applicazione di KQL al rilevamento degli eventi imprevisti | In questo episodio si apprenderà come tenere traccia di alcune attività degli utenti malintenzionati. Usiamo la nostra migliore comprensione di Kusto e la caccia avanzata per tenere traccia di un attacco. Informazioni sui trucchi effettivi usati nel campo, inclusi gli APC della cybersecurity e su come applicarli alla risposta agli eventi imprevisti. | YouTube (59:36) | File di testo |
Ottieni una formazione più esperta con L33TSP3AK: ricerca avanzata in Microsoft Defender XDR, una serie di webcast per gli analisti che vogliono espandere le loro conoscenze tecniche e competenze pratiche nell'esecuzione di indagini sulla sicurezza usando la ricerca avanzata in Microsoft Defender XDR.
| Titolo | Descrizione | Guarda | Query |
|---|---|---|---|
| Episodio 1 | In questo episodio si apprendono diverse procedure consigliate per l'esecuzione di query di ricerca avanzate. Tra gli argomenti trattati sono: come ottimizzare le query, usare la ricerca avanzata per ransomware, gestire JSON come tipo dinamico e lavorare con operatori di dati esterni. | YouTube (56:34) | File di testo |
| Episodio 2 | In questo episodio si apprenderà come indagare e rispondere a posizioni di accesso sospette o insolite ed esfiltrazione dei dati tramite regole di inoltro della posta in arrivo. Sebastian Molendijk, Senior Program Manager per Cloud Security CxE, illustra come usare la ricerca avanzata per analizzare gli eventi imprevisti in più fasi con dati Microsoft Defender for Cloud Apps. | YouTube (57:07) | File di testo |
| Episodio 3 | In questo episodio verranno illustrati i miglioramenti più recenti alla ricerca avanzata, come importare un'origine dati esterna nella query e come usare il partizionamento per segmentare i risultati di query di grandi dimensioni in set di risultati più piccoli per evitare di raggiungere i limiti dell'API. | YouTube (40:59) | File di testo |
Come usare il file CSL
Prima di avviare un episodio, accedere al file di testo corrispondente in GitHub e copiarne il contenuto nell'editor di query di ricerca avanzato. Mentre si watch un episodio, è possibile usare il contenuto copiato per seguire l'altoparlante ed eseguire query.
L'estratto seguente di un file di testo contenente le query mostra un set completo di indicazioni contrassegnate come commenti con //.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Lo stesso file di testo include query prima e dopo i commenti, come illustrato di seguito. Per eseguire una query specifica con più query nell'editor, spostare il cursore su tale query e selezionare Esegui query.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Altre risorse
| Titolo | Descrizione | Guarda |
|---|---|---|
| Unione di tabelle in KQL | Informazioni sulla potenza dell'unione di tabelle nella creazione di risultati significativi. | YouTube (4:17) |
| Ottimizzazione delle tabelle in KQL | Informazioni su come evitare timeout durante l'esecuzione di query complesse ottimizzando le query. | YouTube (5:38) |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Scoprire il linguaggio delle query in Ricerca avanzata
- Usare i risultati delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.