다음을 통해 공유


고급 헌팅에 대한 전문가 교육 받기

적용 대상:

  • Microsoft Defender XDR

새로운 보안 분석가 및 양념된 위협 사냥꾼을 위한 웹캐스트 시리즈인 적을 추적하여 고급 헌팅에 대한 지식을 빠르게 향상시킵니다. 이 시리즈는 기본 사항을 안내하여 고유한 정교한 쿼리를 만듭니다. 기본 사항에 대한 첫 번째 비디오로 시작하거나 경험 수준에 맞는 고급 비디오로 이동합니다.

제목 설명 시청 쿼리
에피소드 1: KQL 기본 사항 이 에피소드에서는 Microsoft Defender XDR 고급 헌팅의 기본 사항을 다룹니다. 사용 가능한 고급 헌팅 데이터 및 기본 KQL 구문 및 연산자를 알아봅니다. 유튜브 (54:14) 텍스트 파일
에피소드 2: 조인 고급 헌팅의 데이터와 테이블을 함께 조인하는 방법에 대해 계속 알아봅니다. , , 및 unique조인에 대해 inner알아보고 semi 기본 Kusto innerunique 조인의 뉘앙스를 이해합니다. outer 유튜브 (53:33) 텍스트 파일
에피소드 3: 데이터 요약, 피벗 및 시각화 이제 데이터를 필터링, 조작 및 조인하는 방법을 배웠으므로 이제 요약, 수량화, 피벗 및 시각화를 수행해야 합니다. 이 에피소드에서는 스키마에 summarize 추가 테이블을 도입하면서 연산자와 다양한 계산에 대해 설명합니다. 또한 데이터 세트를 인사이트를 추출하는 데 도움이 되는 차트로 전환하는 방법도 알아봅니다. 유튜브 (48:52) 텍스트 파일
에피소드 4: 사냥해 봅시다! 인시던트 추적에 KQL 적용 이 에피소드에서는 일부 공격자 활동을 추적하는 방법을 알아봅니다. Kusto에 대한 향상된 이해와 고급 헌팅을 사용하여 공격을 추적합니다. 사이버 보안의 ABC 및 인시던트 대응에 적용하는 방법을 포함하여 현장에서 사용되는 실제 트릭을 알아봅니다. 유튜브 (59:36) 텍스트 파일

L33TSP3AK 더 많은 전문가 교육 받기: Microsoft Defender XDR 고급 헌팅을 사용하여 보안 조사를 수행하는 데 기술 지식과 실용적인 기술을 확장하려는 분석가를 위한 웹캐스트 시리즈인 Microsoft Defender XDR 고급 헌팅.

제목 설명 시청 쿼리
에피소드 1 이 에피소드에서는 고급 헌팅 쿼리를 실행하는 다양한 모범 사례를 알아봅니다. topics 중에는 쿼리를 최적화하고, 랜섬웨어에 고급 헌팅을 사용하고, JSON을 동적 형식으로 처리하고, 외부 데이터 운영자와 함께 작업하는 방법이 있습니다. 유튜브 (56:34) 텍스트 파일
에피소드 2 이 에피소드에서는 받은 편지함 전달 규칙을 통해 의심스럽거나 비정상적인 로그온 위치 및 데이터 반출을 조사하고 대응하는 방법을 알아봅니다. 클라우드 보안 CxE의 수석 프로그램 관리자인 Sebastien Molendijk는 고급 헌팅을 사용하여 Microsoft Defender for Cloud Apps 데이터로 다단계 인시던트 조사 방법을 공유합니다. 유튜브 (57:07) 텍스트 파일
에피소드 3 이 에피소드에서는 고급 헌팅의 최신 개선 사항, 외부 데이터 원본을 쿼리로 가져오는 방법 및 분할을 사용하여 큰 쿼리 결과를 더 작은 결과 집합으로 분할하여 API 제한에 도달하는 것을 방지하는 방법을 설명합니다. 유튜브 (40:59) 텍스트 파일

CSL 파일을 사용하는 방법

에피소드를 시작하기 전에 GitHub의 해당 텍스트 파일에 액세스하고 해당 내용을 고급 헌팅 쿼리 편집기로 복사합니다. 에피소드를 watch 복사한 내용을 사용하여 화자를 팔로우하고 쿼리를 실행할 수 있습니다.

쿼리가 포함된 텍스트 파일에서 발췌한 다음 내용은 으로 주석으로 표시된 포괄적인 지침 집합을 보여 줍니다 //.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

동일한 텍스트 파일에는 아래와 같이 주석 전후에 쿼리가 포함됩니다. 편집기에서 여러 쿼리를 사용하여 특정 쿼리를 실행하려면 커서를 해당 쿼리로 이동하고 쿼리 실행을 선택합니다.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

다른 리소스

제목 설명 시청
KQL에서 테이블 조인 의미 있는 결과를 만들 때 테이블을 조인하는 능력을 알아봅니다. 유튜브 (4:17)
KQL에서 테이블 최적화 쿼리를 최적화하여 복잡한 쿼리를 실행할 때 시간 제한을 방지하는 방법을 알아봅니다. 유튜브 (5:38)

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.