Få ekspertopplæring om avansert jakt
Gjelder for:
- Microsoft Defender XDR
Øk kunnskapen din om avansert jakt raskt med Tracking the adversary, en webcast-serie for nye sikkerhetsanalytikere og erfarne trusseljegere. Serien veileder deg gjennom det grunnleggende hele veien til å opprette dine egne avanserte spørringer. Start med den første videoen om det grunnleggende, eller hopp til mer avanserte videoer som passer ditt erfaringsnivå.
| Tittel | Beskrivelse | Se | Spørringer |
|---|---|---|---|
| Episode 1: Grunnleggende om KQL | Denne episoden dekker det grunnleggende om avansert jakt i Microsoft Defender XDR. Lær om tilgjengelige avanserte jaktdata og grunnleggende KQL-syntaks og operatorer. | YouTube (54:14) | Tekstfil |
| Episode 2: Sammenføyninger | Fortsett å lære om data i avansert jakt og hvordan du slår sammen tabeller. Lær om inner, outer, unique, og semi sammenføyninger, og forstå nyansene i standard Kusto-sammenføyning innerunique . |
YouTube (53:33) | Tekstfil |
| Episode 3: Summere, pivotere og visualisere data | Nå som du har lært å filtrere, manipulere og sammenføye data, er det på tide å oppsummere, kvantifisere, pivotere og visualisere. Denne episoden diskuterer summarize operatøren og ulike beregninger, samtidig som du introduserer flere tabeller i skjemaet. Du vil også lære å gjøre datasett om til diagrammer som kan hjelpe deg med å trekke ut innsikt. |
YouTube (48:52) | Tekstfil |
| Episode 4: La oss jakte! Bruke KQL på hendelsessporing | I denne episoden lærer du å spore angriperaktivitet. Vi bruker vår forbedrede forståelse av Kusto og avansert jakt for å spore et angrep. Lær faktiske triks som brukes i feltet, inkludert ABCs av cybersikkerhet og hvordan du bruker dem til hendelsesrespons. | YouTube (59:36) | Tekstfil |
Få mer ekspertopplæring med L33TSP3AK: Avansert jakt i Microsoft Defender XDR, en webcast-serie for analytikere som ønsker å utvide sin tekniske kunnskap og praktiske ferdigheter i å gjennomføre sikkerhetsundersøkelser ved hjelp av avansert jakt i Microsoft Defender XDR.
| Tittel | Beskrivelse | Se | Spørringer |
|---|---|---|---|
| Episode 1 | I denne episoden vil du lære forskjellige anbefalte fremgangsmåter for å kjøre avanserte jaktspørringer. Blant emnene som dekkes er: hvordan du optimaliserer spørringene, bruker avansert jakt etter løsepengevirus, håndterer JSON som en dynamisk type og arbeider med eksterne dataoperatorer. | YouTube (56:34) | Tekstfil |
| Episode 2 | I denne episoden lærer du hvordan du undersøker og reagerer på mistenkelige eller uvanlige påloggingsplasseringer og dataeksfiltrering via innboks-videresendingsregler. Sebastien Molendijk, Senior Program Manager for Cloud Security CxE, deler hvordan du bruker avansert jakt til å undersøke flertrinnshendelser med Microsoft Defender for Cloud Apps data. | YouTube (57:07) | Tekstfil |
| Episode 3 | I denne episoden dekker vi de nyeste forbedringene av avansert jakt, hvordan du importerer en ekstern datakilde til spørringen, og hvordan du bruker partisjonering til å segmentere store spørringsresultater i mindre resultatsett for å unngå å treffe API-grenser. | YouTube (40:59) | Tekstfil |
Slik bruker du CSL-filen
Før du starter en episode, må du få tilgang til den tilsvarende tekstfilen på GitHub og kopiere innholdet til redigeringsprogrammet for avansert jaktspørring. Når du ser en episode, kan du bruke det kopierte innholdet til å følge foredragsholderen og kjøre spørringer.
Følgende utdrag fra en tekstfil som inneholder spørringene, viser et omfattende sett med veiledning merket som kommentarer med //.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Den samme tekstfilen inneholder spørringer før og etter kommentarene som vist nedenfor. Hvis du vil kjøre en bestemt spørring med flere spørringer i redigeringsprogrammet, flytter du markøren til spørringen og velger Kjør spørring.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Andre ressurser
| Tittel | Beskrivelse | Se |
|---|---|---|
| Sammenføyning av tabeller i KQL | Lær hvordan du føyer sammen tabeller for å skape meningsfulle resultater. | YouTube (04:17) |
| Optimalisere tabeller i KQL | Lær hvordan du unngår tidsavbrudd når du kjører komplekse spørringer ved å optimalisere spørringene. | YouTube (05:38) |
Beslektede emner
- Oversikt over avansert jakt
- Lær avansert spørringsspråk for jakt
- Arbeide med spørringsresultater
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.