Søk raskt etter enhets- eller hendelsesinformasjon med go hunt
Gjelder for:
- Microsoft Defender XDR
Med gå jakthandlingen kan du raskt undersøke hendelser og ulike enhetstyper ved hjelp av kraftige spørringsbaserte avanserte jaktfunksjoner . Denne handlingen kjører automatisk en avansert jaktspørring for å finne relevant informasjon om den valgte hendelsen eller enheten.
Go hunt-handlingen er tilgjengelig i ulike deler av Microsoft Defender XDR. Denne handlingen er tilgjengelig for visning når hendelses- eller enhetsdetaljer vises. Du kan for eksempel bruke alternativet gå til jakt fra følgende deler:
På hendelsessiden kan du se gjennom detaljer om brukere, enheter og mange andre enheter som er knyttet til en hendelse. Når du velger en enhet, får du tilleggsinformasjon og de ulike handlingene du kan utføre på denne enheten. I eksemplet nedenfor er en postboks valgt, som viser detaljer om postboksen og alternativet for å søke etter mer informasjon om postboksen.
På hendelsessiden kan du også få tilgang til en liste over enheter under Bevis-fanen . Hvis du velger en av disse enhetene, kan du raskt lete etter informasjon om enheten.
Når du viser tidslinjen for en enhet, kan du velge en hendelse på tidslinjen for å vise tilleggsinformasjon om hendelsen. Når en hendelse er valgt, får du muligheten til å jakte på andre relevante hendelser i avansert jakt.
Hvis du velger Gå på jakt eller Jakt etter relaterte hendelser , sendes forskjellige spørringer, avhengig av om du har valgt en enhet eller en hendelse.
Spørring etter enhetsinformasjon
Du kan bruke søkejakt for å spørre etter informasjon om en bruker, enhet eller en annen type enhet. spørringen kontrollerer alle relevante skjematabeller for alle hendelser som involverer denne enheten, for å returnere informasjon. Hvis du vil holde resultatene håndterbare, er spørringen:
- begrenset til omtrent samme tidsperiode som den tidligste aktiviteten de siste 30 dagene som omfatter enheten
- knyttet til hendelsen.
Her er et eksempel på go hunt-spørringen for en enhet:
let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100
Støttede enhetstyper
Du kan bruke alternativet gå til jakt etter å ha valgt en av disse enhetstypene:
- Enheter
- E-postklynger
- Emails
- Filer
- Grupper
- IP-adresser
- Postbokser
- Brukere
- Nettadresser
Spørring etter hendelsesinformasjon
Når du bruker go hunt til å spørre etter informasjon om en tidslinjehendelse, kontrollerer spørringen alle relevante skjematabeller for andre hendelser rundt tidspunktet for den valgte hendelsen. Følgende spørring viser for eksempel hendelser i ulike skjematabeller som oppstod omtrent samme tidsperiode på samme enhet:
// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance
Juster spørringen
Med litt kunnskap om spørringsspråket kan du justere spørringen etter behov. Du kan for eksempel justere denne linjen, som bestemmer størrelsen på tidsvinduet:
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
I tillegg til å endre spørringen for å få mer relevante resultater, kan du også:
Obs!
Noen tabeller i denne artikkelen er kanskje ikke tilgjengelige i Microsoft Defender for endepunkt. Slå på Microsoft Defender XDR for å lete etter trusler ved hjelp av flere datakilder. Du kan flytte avanserte jaktarbeidsflyter fra Microsoft Defender for endepunkt til Microsoft Defender XDR ved å følge trinnene i Overføre avanserte jaktspørringer fra Microsoft Defender for endepunkt.
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Arbeide med spørringsresultater
- Egendefinerte gjenkjenningsregler
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for