Perfezionare la query in modalità guidata
Si applica a:
- Microsoft Defender XDR
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Usare tipi di dati diversi
La ricerca avanzata in modalità guidata supporta diversi tipi di dati che è possibile usare per ottimizzare la query.
Numeri
Stringhe
Nella casella di testo libero digitare il valore e premere INVIO per aggiungerlo. Si noti che il delimitatore tra valori è Invio.
Booleano
Datetime
Elenco chiuso: non è necessario ricordare il valore esatto che si sta cercando. È possibile scegliere facilmente da un elenco chiuso suggerito che supporta la selezione multipla.
Usare i sottogruppi
È possibile creare gruppi di condizioni facendo clic su Aggiungi sottogruppo:
Usare il completamento automatico intelligente per la ricerca
È supportato il completamento automatico intelligente per la ricerca di dispositivi e account utente. Non è necessario ricordare l'ID dispositivo, il nome completo del dispositivo o il nome dell'account utente. È possibile iniziare a digitare i primi caratteri del dispositivo o dell'utente che si sta cercando e viene visualizzato un elenco suggerito da cui è possibile scegliere ciò di cui si ha bisogno:
Usare EventType
È anche possibile cercare tipi di evento specifici come tutti gli accessi non riusciti, gli eventi di modifica dei file o le connessioni di rete con esito positivo usando il filtro EventType in qualsiasi sezione in cui è applicabile.
Ad esempio, se si desidera aggiungere una condizione che cerca le eliminazioni di valori del Registro di sistema, è possibile passare alla sezione Eventi del Registro di sistema e selezionare EventType.
La selezione di EventType in Eventi del Registro di sistema consente di scegliere tra diversi eventi del Registro di sistema, incluso quello a cui si sta cercando , RegistryValueDeleted.
Nota
EventType è l'equivalente di ActionType nello schema dei dati, con cui gli utenti in modalità avanzata potrebbero avere più familiarità.
Testare la query con dimensioni di esempio inferiori
Se si sta ancora lavorando alla query e si desidera visualizzarne rapidamente le prestazioni e alcuni risultati di esempio, modificare il numero di record da restituire selezionando un set più piccolo tramite il menu a discesa Dimensioni campione .
Per impostazione predefinita, le dimensioni del campione sono impostate su 10.000 risultati. Si tratta del numero massimo di record che è possibile restituire nella ricerca. Tuttavia, è consigliabile ridurre le dimensioni del campione a 10 o 100 per testare rapidamente la query, in quanto in questo modo vengono utilizzate meno risorse mentre si sta ancora lavorando per migliorare la query.
Quindi, dopo aver finalizzato la query e averli pronti per usarla per ottenere tutti i risultati rilevanti per l'attività di ricerca, assicurarsi che la dimensione del campione sia impostata su 10k, ovvero il valore massimo.
Passare alla modalità avanzata dopo la compilazione di una query
È possibile fare clic su Modifica in KQL per visualizzare la query KQL generata dalle condizioni selezionate. La modifica in KQL apre una nuova scheda in modalità avanzata, con la query KQL corrispondente:
Nell'esempio precedente la visualizzazione selezionata è All, pertanto è possibile notare che la query KQL esegue la ricerca in tutte le tabelle con proprietà file di nome e SHA256 e in tutte le colonne pertinenti che coprono queste proprietà.
Se si modifica la visualizzazione in Messaggi di posta elettronica & collaborazione, la query viene ridotta a:
Vedere anche
- Quote di ricerca avanzate e parametri di utilizzo
- Estendere la copertura di ricerca avanzata con le impostazioni corrette
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.