Compilare query di ricerca usando la modalità guidata in Microsoft Defender XDR

Si applica a:

• Microsoft Defender XDR

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Il generatore di query in modalità guidata consente agli analisti di creare query di ricerca significative senza conoscere Linguaggio di query Kusto (KQL) o lo schema dei dati. Gli analisti di ogni livello di esperienza possono usare generatore di query per filtrare i dati degli ultimi 30 giorni per cercare minacce, espandere le indagini sugli eventi imprevisti, eseguire analisi dei dati sui dati delle minacce o concentrarsi su aree di minaccia specifiche.

L'analista può scegliere il set di dati da esaminare e quali filtri e condizioni usare per limitare i dati a ciò di cui hanno bisogno.

È possibile watch questo video per ottenere una panoramica della ricerca guidata:

Aprire Query nel generatore

Nella pagina Ricerca avanzata selezionare Create nuovo per aprire una nuova scheda query e selezionare Query nel generatore.

In questo modo si passa alla modalità guidata, in cui è possibile costruire la query selezionando componenti diversi usando i menu a discesa.

Specificare il dominio dati in cui eseguire la ricerca

È possibile controllare l'ambito della ricerca selezionando il dominio coperto dalla query:

La selezione di Tutti include i dati di tutti i domini a cui si ha attualmente accesso. Il restringimento a un dominio specifico consente filtri rilevanti solo per tale dominio.

È possibile scegliere tra:

• Tutti i domini: per esaminare tutti i dati disponibili nella query
• Endpoint: per esaminare i dati degli endpoint forniti da Microsoft Defender per endpoint
• App e identità: per esaminare i dati delle applicazioni e delle identità forniti da Microsoft Defender for Cloud Apps e Microsoft Defender per identità, gli utenti che hanno familiarità con il log attività possono trovare gli stessi dati qui
• Email e collaborazione: per esaminare i dati delle app di posta elettronica e collaborazione come SharePoint, OneDrive e altri, gli utenti che hanno familiarità con Threat Explorer possono trovare gli stessi dati qui

Usare i filtri di base

Per impostazione predefinita, la ricerca guidata include alcuni filtri di base per iniziare rapidamente.

Quando si sceglie un'origine dati, ad esempio Endpoint, generatore di query visualizza solo i gruppi di filtri applicabili. È quindi possibile scegliere un filtro che si vuole restringere selezionando il gruppo di filtri, ad esempio EventType, e selezionando il filtro desiderato.

Quando la query è pronta, selezionare il pulsante blu Esegui query . Se il pulsante è disattivato, significa che la query deve essere compilata o modificata ulteriormente.

Nota

La visualizzazione filtro di base usa solo l'operatore AND , ovvero l'esecuzione della query genera risultati per i quali tutti i filtri impostati sono true.

Caricare query di esempio

Un altro modo rapido per acquisire familiarità con la ricerca guidata consiste nel caricare query di esempio usando il menu a discesa Carica query di esempio .

Nota

La selezione di una query di esempio esegue l'override della query esistente.

Dopo aver caricato la query di esempio, selezionare Esegui query.

Se in precedenza è stato selezionato un dominio, l'elenco delle query di esempio disponibili cambia di conseguenza.

Per ripristinare l'elenco completo delle query di esempio, selezionare Tutti i domini e quindi riaprire Carica query di esempio.

Se la query di esempio caricata usa filtri esterni al set di filtri di base, l'interruttore è disattivato. Per tornare al set di filtri di base, selezionare Cancella tutto e quindi attivare o disattivare Tutti i filtri.

Usare altri filtri

Per visualizzare altri gruppi di filtri e condizioni, selezionare Attiva/Disattiva per visualizzare altri filtri e condizioni.

Quando l'interruttore Tutti i filtri è attivo, è ora possibile usare l'intera gamma di filtri e condizioni in modalità guidata.

Create condizioni

Per specificare un set di dati da usare nella query, selezionare Selezionare un filtro. Esplorare le diverse sezioni del filtro per trovare gli elementi disponibili.

Digitare i titoli della sezione nella casella di ricerca nella parte superiore dell'elenco per trovare il filtro. Le sezioni che terminano con le informazioni contengono filtri che forniscono informazioni sui diversi componenti che è possibile esaminare e filtri per gli stati delle entità. Le sezioni che terminano con gli eventi contengono filtri che consentono di cercare qualsiasi evento monitorato nell'entità. Ad esempio, per cercare le attività che coinvolgono determinati dispositivi, è possibile usare i filtri nella sezione Eventi del dispositivo .

Nota

La scelta di un filtro non incluso nell'elenco dei filtri di base disattiva o disattiva l'interruttore per tornare alla visualizzazione filtri di base. Per reimpostare la query o rimuovere i filtri esistenti nella query corrente, selezionare Cancella tutto. In questo modo viene riattivato anche l'elenco dei filtri di base.

Impostare quindi la condizione appropriata per filtrare ulteriormente i dati selezionandolo dal secondo menu a discesa e specificando le voci nel terzo menu a discesa, se necessario:

È possibile aggiungere altre condizioni alla query usando le condizioni AND e OR . AND restituisce risultati che soddisfano tutte le condizioni della query, mentre OR restituisce i risultati che soddisfano una qualsiasi delle condizioni nella query.

Il perfezionamento della query consente di esaminare automaticamente i record voluminosi per generare un elenco di risultati già destinati alle specifiche esigenze di ricerca delle minacce.

Per conoscere quali tipi di dati sono supportati e altre funzionalità della modalità guidata per ottimizzare la query, leggere Affinare la query in modalità guidata.

Provare le procedure dettagliate delle query di esempio

Un altro modo per acquisire familiarità con la ricerca guidata consiste nel caricare le query di esempio create in precedenza in modalità guidata.

Nella sezione Introduzione della pagina di ricerca sono stati forniti tre esempi di query guidate che è possibile caricare. Gli esempi di query contengono alcuni dei filtri e degli input più comuni necessari nella ricerca. Il caricamento di una qualsiasi delle tre query di esempio apre una presentazione guidata di come costruire la voce usando la modalità guidata.

Seguire le istruzioni nelle bolle di insegnamento blu per costruire la query. Selezionare Esegui query.

Provare alcune query

Cercare connessioni con esito positivo a un indirizzo IP specifico

Per cercare le comunicazioni di rete riuscite con un indirizzo IP specifico, iniziare a digitare "ip" per ottenere i filtri suggeriti:

Per cercare gli eventi che coinvolgono un indirizzo IP specifico in cui l'INDIRIZZO IP è la destinazione della comunicazione, selezionare DestinationIPAddress nella sezione Eventi indirizzo IP. Selezionare quindi l'operatore equals . Digitare l'INDIRIZZO IP nel terzo menu a discesa e premere INVIO:

Quindi, per aggiungere una seconda condizione che cerca gli eventi di comunicazione di rete riusciti, cercare il filtro di un tipo di evento specifico:

Il filtro EventType cerca i diversi tipi di evento registrati. Equivale alla colonna ActionType presente nella maggior parte delle tabelle nella ricerca avanzata. Selezionarlo per scegliere uno o più tipi di evento per cui filtrare. Per cercare gli eventi di comunicazione di rete riusciti, espandere la sezione DeviceNetworkEvents e quindi scegliere ConnectionSuccess:

Infine, selezionare Esegui query per cercare tutte le comunicazioni di rete riuscite con l'indirizzo IP 52.168.117.170:

Cercare e-mail di phishing o posta indesiderata ad alta attendibilità recapitate alla posta in arrivo

Per cercare tutti i messaggi di posta elettronica di phishing e posta indesiderata con attendibilità elevata recapitati alla cartella posta in arrivo al momento del recapito, selezionare prima ConfidenceLevel in eventi Email, selezionare uguale e scegliere Alto in Phish e Spam nell'elenco chiuso suggerito che supporta la selezione multipla:

Aggiungere quindi un'altra condizione, questa volta specificando la cartella o DeliveryLocation, Posta in arrivo/cartella.

Vedere anche

• Perfezionare la query in modalità guidata
• Usare i risultati delle query in modalità guidata
• Comprendere lo schema

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.