단계별 모드에서 쿼리 구체화

적용 대상:

• Microsoft Defender XDR

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

다른 데이터 형식 사용

단계별 모드의 고급 헌팅은 쿼리를 미세 조정하는 데 사용할 수 있는 여러 데이터 형식을 지원합니다.

• 숫자
  

• 문자열
  

  사용 가능한 텍스트 상자에 값을 입력하고 Enter 키를 눌러 추가합니다. 값 간의 구분 기호는 Enter입니다.
  

  

• 부울
  

• Datetime
  

• 닫힌 목록 - 원하는 정확한 값을 기억할 필요가 없습니다. 다중 선택을 지원하는 제안된 닫힌 목록에서 쉽게 선택할 수 있습니다.
  

하위 그룹 사용

하위 그룹 추가를 클릭하여 조건 그룹을 만들 수 있습니다.

검색에 스마트 자동 완성 사용

디바이스 및 사용자 계정을 검색하기 위한 스마트 자동 완성이 지원됩니다. 디바이스 ID, 전체 디바이스 이름 또는 사용자 계정 이름을 기억할 필요가 없습니다. 찾고 있는 디바이스 또는 사용자의 처음 몇 문자 입력을 시작할 수 있으며 필요한 항목을 선택할 수 있는 제안된 목록이 나타납니다.

EventType을(를) 사용하세요.

적용 가능한 모든 섹션에서 EventType 필터를 사용하여 실패한 모든 로그온, 파일 수정 이벤트 또는 성공적인 네트워크 연결과 같은 특정 이벤트 형식을 찾을 수도 있습니다.

instance 레지스트리 값 삭제를 찾는 조건을 추가하려면 레지스트리 이벤트 섹션으로 이동하여 EventType을 선택할 수 있습니다.

레지스트리 이벤트에서 EventType을 선택하면 헌팅할 레지스트리 이벤트인 RegistryValueDeleted를 포함하여 다양한 레지스트리 이벤트 중에서 선택할 수 있습니다.

참고

EventType 는 고급 모드의 사용자가 더 잘 알고 있을 수 있는 데이터 스키마의 와 동일합니다 ActionType .

더 작은 샘플 크기로 쿼리 테스트

쿼리를 계속 작업 중이고 성능 및 일부 샘플 결과를 신속하게 확인하려면 샘플 크기 드롭다운 메뉴를 통해 더 작은 집합을 선택하여 반환할 레코드 수를 조정합니다.

샘플 크기는 기본적으로 10,000 결과로 설정됩니다. 헌팅에서 반환할 수 있는 최대 레코드 수입니다. 그러나 샘플 크기를 10 또는 100으로 낮추면 쿼리를 빠르게 테스트할 수 있으므로 쿼리를 개선하기 위해 작업하는 동안 리소스를 적게 사용하는 것이 좋습니다.

그런 다음 쿼리를 완료하고 이를 사용하여 헌팅 활동에 대한 모든 관련 결과를 가져올 준비가 되면 샘플 크기가 최대값인 10k로 설정되어 있는지 확인합니다.

쿼리를 빌드한 후 고급 모드로 전환

KQL에서 편집을 클릭하여 선택한 조건에서 생성된 KQL 쿼리를 볼 수 있습니다. KQL에서 편집하면 해당 KQL 쿼리를 사용하여 고급 모드로 새 탭이 열립니다.

위의 예제에서 선택한 보기는 모두이므로 KQL 쿼리는 이름과 SHA256의 파일 속성이 있는 모든 테이블과 이러한 속성을 포함하는 모든 관련 열에서 검색하는 것을 볼 수 있습니다.

보기를 전자 메일 & 공동 작업으로 변경하면 쿼리가 다음으로 좁혀집니다.

참고 항목

• 고급 헌팅 할당량 및 사용 매개 변수
• 올바른 설정을 사용하여 고급 헌팅 범위 확장

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.