Del via

Avansert jakteksempel for Microsoft Defender for Office 365

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Vil du komme i gang med å søke etter e-posttrusler ved hjelp av avansert jakt? Prøv disse trinnene:

Distribusjonsveiledningen for Microsoft Defender for Office 365 forklarer hvordan du hopper direkte inn og får konfigurasjonen i gang på dag 1.

Avhengig av den forhåndsinnstilte sikkerhetspolicyen kontra egendefinerte policyvalg, er innstillingene for automatisk tømming av nulltimer (ZAP) viktige for å vite om en ondsinnet melding ble fjernet fra en postboks etter levering.

Rask navigering til Kusto spørringsspråk for å jakte på problemer er en fordel med å konvergere disse to sikkerhetssentrene. Sikkerhetsteam kan overvåke ZAP-bommer ved å ta sine neste skritt i Microsoft Defender-portalen på https://security.microsoft.com>Hunting>Advanced Hunting.

  1. Kontroller at ny spørring-fanen er valgt Avansert jakt-sidenhttps://security.microsoft.com/v2/advanced-hunting.

  2. Kopier følgende spørring til spørringsboksen :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Velg Kjør spørring.

Avansert jakt-siden (under Jakt) med Spørring valgt øverst i spørringspanelet, og kjører en Kusto-spørring for å registrere ZAP-handlinger i løpet av de siste sju dagene.

Dataene fra denne spørringen vises i resultatpanelet under selve spørringen. Resultatene inkluderer informasjon som , AccountDisplayNameog ZapTime i et resultatsett som DeviceNamekan tilpasses. Resultatene kan også eksporteres for postene. Hvis du vil lagre spørringen for gjenbruk, velger du Lagre>som for å legge til spørringen i listen over spørringer, delte spørringer eller fellesskapsspørringer.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.