Avansert jakteksempel for Microsoft Defender for Office 365
Gjelder for:
- Microsoft Defender XDR
Vil du komme i gang med å søke etter e-posttrusler ved hjelp av avansert jakt? Prøv disse trinnene:
Distribusjonsveiledningen for Microsoft Defender for Office 365 forklarer hvordan du hopper direkte inn og får konfigurasjonen i gang på dag 1.
Avhengig av den forhåndsinnstilte sikkerhetspolicyen kontra egendefinerte policyvalg, er innstillingene for automatisk tømming av nulltimer (ZAP) viktige for å vite om en ondsinnet melding ble fjernet fra en postboks etter levering.
Rask navigering til Kusto spørringsspråk for å jakte på problemer er en fordel med å konvergere disse to sikkerhetssentrene. Sikkerhetsteam kan overvåke ZAP-bommer ved å ta sine neste skritt i Microsoft Defender-portalen på https://security.microsoft.com>Hunting>Advanced Hunting.
Kontroller at ny spørring-fanen er valgt på Avansert jakt-siden på https://security.microsoft.com/v2/advanced-hunting.
Kopier følgende spørring til spørringsboksen :
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
Velg Kjør spørring.
Dataene fra denne spørringen vises i resultatpanelet under selve spørringen. Resultatene inkluderer informasjon som , AccountDisplayName
og ZapTime
i et resultatsett som DeviceName
kan tilpasses. Resultatene kan også eksporteres for postene. Hvis du vil lagre spørringen for gjenbruk, velger du Lagre>som for å legge til spørringen i listen over spørringer, delte spørringer eller fellesskapsspørringer.
Relatert informasjon
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.