Del via

Bygge jaktspørringer ved hjelp av veiledet modus i Microsoft Defender

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Spørringsverktøyet i veiledet modus gjør det mulig for analytikere å lage meningsfulle jaktspørringer uten å vite Kusto Query Language (KQL) eller dataskjemaet. Analytikere fra alle erfaringsnivåer kan bruke spørreverktøyet til å filtrere gjennom data fra de siste 30 dagene for å se etter trusler, utvide hendelsesundersøkelser, utføre dataanalyser på trusseldata eller fokusere på bestemte trusselområder.

Analytikeren kan velge hvilket datasett de skal se på, og hvilke filtre og betingelser som skal brukes til å begrense dataene til det de trenger.

Du kan se denne videoen for å få en oversikt over veiledet jakt:

Åpne spørring i verktøy

Velg Opprett nyttpå siden Avansert jakt for å åpne en ny spørringsfane, og velg Spørring i verktøy.

Skjermbilde av spørreverktøyet for veiledet modus

Dette fører deg til veiledet modus, der du deretter kan konstruere spørringen ved å velge forskjellige komponenter ved hjelp av rullegardinmenyer.

Angi datadomenet som skal søkes i

Du kan kontrollere omfanget av jakten ved å velge hvilket domene spørringen dekker:

Skjermbilde av rullegardinlisten for spørreverktøydomener for veiledet modus

Hvis du velger Alle , inkluderes data fra alle domener du har tilgang til. Hvis du begrenser til et bestemt domene, kan filtre som bare er relevante for dette domenet.

Du kan velge blant:

  • Alle domener – Slik ser du gjennom alle tilgjengelige data i spørringen.
  • Endepunkter – Slik ser du gjennom endepunktdata som leveres av Microsoft Defender for endepunkt.
  • E-post og samarbeid – Slik ser du gjennom data for e-post- og samarbeidsapper som SharePoint, OneDrive og andre: brukere som er kjent med Trusselutforsker , kan finne de samme dataene her.
  • Apper og identiteter – Hvis du vil se gjennom program- og identitetsdata som leveres av Microsoft Defender for Cloud Apps og Microsoft Defender for identitet, kan brukere som er kjent med aktivitetsloggen, finne de samme dataene her.
  • Skyinfrastruktur – For å se gjennom skyinfrastrukturdata som leveres av Microsoft Defender for Cloud.
  • Eksponeringsbehandling – For å se gjennom data for eksponeringsbehandling som leveres av Microsoft Security Exposure Management.

Bruk grunnleggende filtre

Som standard inneholder guidet jakt noen grunnleggende filtre for å komme raskt i gang.

Skjermbilde av det grunnleggende filtersettet for spørreverktøyet for veiledet modus

Når du velger én datakilde, for eksempel endepunkter, viser spørreverktøyet bare de aktuelle filtergruppene. Deretter kan du velge et filter du er interessert i å begrense ved å velge filtergruppen, for eksempel EventType, og velge filteret du ønsker.

Skjermbilde av det grunnleggende filtersettet for spørringsverktøyet for veiledet modus

Når spørringen er klar, velger du den blå Kjør spørring-knappen . Hvis knappen er nedtonet, betyr det at spørringen må fylles ut eller redigeres ytterligere.

Obs!

Den grunnleggende filtervisningen bruker bare AND-operatoren, noe som betyr at kjøring av spørringen genererer resultater som alle settfiltrene er sanne for.

Last inn eksempelspørringer

En annen rask måte å bli kjent med veiledet jakt på, er å laste inn eksempelspørringer ved hjelp av rullegardinmenyen Last inn eksempelspørringer . Skjermbilde av spørringsverktøyet for veiledet modus laster inn eksempelspørringer-listen

Obs!

Hvis du velger en eksempelspørring, overstyres den eksisterende spørringen.

Når eksempelspørringen er lastet inn, velger du Kjør spørring.

Skjermbilde av spørringsverktøyet for veiledet modus lastet inn spørring

Hvis du tidligere har valgt et domene, endres listen over tilgjengelige eksempelspørringer tilsvarende.

Skjermbilde av begrenset liste for veiledet modus for spørringsverktøy

Hvis du vil gjenopprette den fullstendige listen over eksempelspørringer, velger du Alle domener og åpner deretter last inn eksempelspørringer på nytt.

Hvis den innlastede eksempelspørringen bruker filtre utenfor det grunnleggende filtersettet, er veksleknappen nedtonet. Hvis du vil gå tilbake til det grunnleggende filtersettet, velger du Fjern alle og aktiverer/ deaktiverer alle filtre.

Bruk flere filtre

Hvis du vil vise flere filtergrupper og betingelser, velger du Veksleknapp for å se flere filtre og betingelser.

Skjermbilde av veksleknappen flere filtre for veiledet modusspørringsverktøy

Når veksleknappen Alle filtre er aktiv, kan du nå bruke hele utvalget av filtre og betingelser i veiledet modus.

Skjermbilde av spørreverktøyet for veiledet modus, alle filtre som er aktive

Opprett betingelser

Hvis du vil angi et sett med data som skal brukes i spørringen, velger du Velg et filter. Utforsk de ulike filterinndelingene for å finne det som er tilgjengelig for deg.

Skjermbilde som viser ulike filtre du kan bruke

Skriv inn inndelingens titler i søkeboksen øverst i listen for å finne filteret. Inndelinger som slutter på informasjon , inneholder filtre som gir informasjon om de ulike komponentene du kan se på, og filtre for enhetenes tilstander. Inndelinger som slutter på hendelser, inneholder filtre som lar deg se etter alle overvåkede hendelser på enheten. Hvis du for eksempel vil lete etter aktiviteter som involverer bestemte enheter, kan du bruke filtrene under enhetshendelser-delen .

Obs!

Hvis du velger et filter som ikke er i listen over grunnleggende filtre, deaktiveres eller nedtones veksleknappen for å gå tilbake til den grunnleggende filtervisningen. Hvis du vil tilbakestille spørringen eller fjerne eksisterende filtre i gjeldende spørring, velger du Fjern alle. Dette reaktiverer også listen over grunnleggende filtre.

Deretter angir du den aktuelle betingelsen for å filtrere dataene ytterligere ved å velge dem fra den andre rullegardinmenyen og oppgi oppføringer i den tredje rullegardinmenyen om nødvendig:

Skjermbilde som viser ulike betingelser du kan bruke

Du kan legge til flere betingelser i spørringen ved hjelp av OG- og ELLER-betingelser . OG returnerer resultater som oppfyller alle betingelsene i spørringen, mens ELLER returnerer resultater som oppfyller noen av betingelsene i spørringen.

Skjermbilde som viser OG ELLER-operatorer

Ved å finjustere spørringen kan du automatisk sile gjennom voluminøse poster for å generere en liste over resultater som allerede er rettet mot ditt spesifikke trusseljaktbehov.

Hvis du vil vite hvilke datatyper som støttes og andre funksjoner for veiledet modus for å hjelpe deg med å finjustere spørringen, kan du lese Begrens spørringen i veiledet modus.

Prøv eksempler på spørringsgjennomganger

En annen måte å bli kjent med veiledet jakt på, er å laste inn eksempelspørringer som er forhåndsopprettet i veiledet modus.

I Komme i gang-delen på jaktsiden har vi gitt tre veiledede spørringseksempler som du kan laste inn. Spørringseksempler inneholder noen av de vanligste filtrene og inndataene du vanligvis trenger i jakten. Hvis du laster inn en av de tre eksempelspørringene, åpnes en veiledet innføring i hvordan du konstruerer oppføringen ved hjelp av veiledet modus.

Skjermbilde av veiledet modus spørringsverktøy komme i gang spørringsgjennomganger

Følg instruksjonene i de blå undervisningsboblene for å konstruere spørringen. Velg Kjør spørring.

Prøv noen spørringer

Jakt etter vellykkede tilkoblinger til spesifikk IP

Hvis du vil søke etter vellykket nettverkskommunikasjon til en bestemt IP-adresse, kan du begynne å skrive inn «ip» for å få foreslåtte filtre:

Skjermbilde av søkeverktøyet for veiledet modus for å finne vellykkede tilkoblinger til et bestemt IP-filter

Hvis du vil se etter hendelser som involverer en bestemt IP-adresse der IP-adressen er målet for kommunikasjonen, velger du DestinationIPAddress under delen IP-adressehendelser. Velg deretter likhetsoperatoren . Skriv inn IP-adressen i den tredje rullegardinmenyen, og trykk enter:

Skjermbilde av søkeverktøyet for veiledet modus for å finne vellykkede tilkoblinger til bestemte IP-adresser

Hvis du deretter vil legge til en annen betingelse som søker etter vellykkede nettverkskommunikasjonshendelser, søker du etter filteret for en bestemt hendelsestype:

Skjermbilde av spørringsverktøyet for veiledet modus for å finne vellykkede tilkoblinger til spesifikk IP, andre betingelse

EventType-filteret ser etter de ulike hendelsestypene som er logget. Den tilsvarer ActionType-kolonnen som finnes i de fleste tabellene i avansert jakt. Velg den for å velge én eller flere hendelsestyper å filtrere etter. Hvis du vil se etter vellykkede nettverkskommunikasjonshendelser, utvider du DeviceNetworkEvents-delen og velger ConnectionSuccessderetter:

Skjermbilde av søkeverktøyet for veiledet modus for å finne vellykkede tilkoblinger til en bestemt IP-tredje betingelse

Til slutt velger du Kjør spørring for å søke etter all vellykket nettverkskommunikasjon til 52.168.117.170 IP-adressen:

Skjermbilde av søkeverktøyet for veiledet modus for å finne vellykkede tilkoblinger til en bestemt IP-resultatvisning

Jakten på e-post med høy visshet eller søppelpost levert til innboksen

Hvis du vil se etter alle phish- og søppelpostpost som ble levert til innboksmappen på leveringstidspunktet, velger du først ConfidenceLevel under E-posthendelser, velger er lik og velger Høy under både Phish og Spam fra den foreslåtte lukkede listen som støtter flervalg:

Skjermbilde av veiledet modus spørrebygger jakte høy visshet phish eller spam e-postmeldinger levert til innboksen, første betingelse

Deretter legger du til en annen betingelse, denne gangen angir du mappen eller DeliveryLocation, innboks/mappe.

Skjermbilde av veiledet modus spørrebygger jakte høy visshet phish eller spam e-postmeldinger levert til innboksen, andre betingelse

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.