Bygge jaktspørringer ved hjelp av veiledet modus i Microsoft Defender XDR
Gjelder for:
- Microsoft Defender XDR
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Spørringsverktøyet i veiledet modus gjør det mulig for analytikere å lage meningsfulle jaktspørringer uten å vite Kusto Query Language (KQL) eller dataskjemaet. Analytikere fra alle erfaringsnivåer kan bruke spørreverktøyet til å filtrere gjennom data fra de siste 30 dagene for å se etter trusler, utvide hendelsesundersøkelser, utføre dataanalyser på trusseldata eller fokusere på bestemte trusselområder.
Analytikeren kan velge hvilket datasett de skal se på, og hvilke filtre og betingelser som skal brukes til å begrense dataene til det de trenger.
Du kan se denne videoen for å få en oversikt over veiledet jakt:
Åpne spørring i verktøy
Velg Opprett nytt på siden Avansert jakt for å åpne en ny spørringsfane, og velg Spørring i verktøy.
Dette fører deg til veiledet modus, der du deretter kan konstruere spørringen ved å velge forskjellige komponenter ved hjelp av rullegardinmenyer.
Angi datadomenet som skal søkes i
Du kan kontrollere omfanget av jakten ved å velge hvilket domene spørringen dekker:
Hvis du velger Alle , inkluderes data fra alle domener du har tilgang til. Hvis du begrenser til et bestemt domene, kan filtre som bare er relevante for dette domenet.
Du kan velge blant:
- Alle domener – for å se gjennom alle tilgjengelige data i spørringen
- Endepunkter – for å se gjennom endepunktdata som leveres av Microsoft Defender for endepunkt
- Apper og identiteter – for å se gjennom program- og identitetsdata som leveres av Microsoft Defender for Cloud Apps og Microsoft Defender for identitet; brukere som er kjent med aktivitetsloggen, kan finne de samme dataene her
- E-post og samarbeid – for å se gjennom e-post- og samarbeidsappdata som SharePoint, OneDrive og andre; brukere som er kjent med Trusselutforsker , kan finne de samme dataene her
Bruk grunnleggende filtre
Som standard inneholder guidet jakt noen grunnleggende filtre for å komme raskt i gang.
Når du velger én datakilde, for eksempel endepunkter, viser spørreverktøyet bare de aktuelle filtergruppene. Deretter kan du velge et filter du er interessert i å begrense ved å velge filtergruppen, for eksempel EventType, og velge filteret du ønsker.
Når spørringen er klar, velger du den blå Kjør spørring-knappen . Hvis knappen er nedtonet, betyr det at spørringen må fylles ut eller redigeres ytterligere.
Obs!
Den grunnleggende filtervisningen bruker bare AND-operatoren, noe som betyr at kjøring av spørringen genererer resultater som alle settfiltrene er sanne for.
Last inn eksempelspørringer
En annen rask måte å bli kjent med veiledet jakt på, er å laste inn eksempelspørringer ved hjelp av rullegardinmenyen Last inn eksempelspørringer .
Obs!
Hvis du velger en eksempelspørring, overstyres den eksisterende spørringen.
Når eksempelspørringen er lastet inn, velger du Kjør spørring.
Hvis du tidligere har valgt et domene, endres listen over tilgjengelige eksempelspørringer tilsvarende.
Hvis du vil gjenopprette den fullstendige listen over eksempelspørringer, velger du Alle domener og åpner deretter last inn eksempelspørringer på nytt.
Hvis den innlastede eksempelspørringen bruker filtre utenfor det grunnleggende filtersettet, er veksleknappen nedtonet. Hvis du vil gå tilbake til det grunnleggende filtersettet, velger du Fjern alle og aktiverer/ deaktiverer alle filtre.
Bruk flere filtre
Hvis du vil vise flere filtergrupper og betingelser, velger du Veksleknapp for å se flere filtre og betingelser.
Når veksleknappen Alle filtre er aktiv, kan du nå bruke hele utvalget av filtre og betingelser i veiledet modus.
Opprett betingelser
Hvis du vil angi et sett med data som skal brukes i spørringen, velger du Velg et filter. Utforsk de ulike filterinndelingene for å finne det som er tilgjengelig for deg.
Skriv inn inndelingens titler i søkeboksen øverst i listen for å finne filteret. Inndelinger som slutter på informasjon , inneholder filtre som gir informasjon om de ulike komponentene du kan se på, og filtre for enhetenes tilstander. Inndelinger som slutter på hendelser, inneholder filtre som lar deg se etter alle overvåkede hendelser på enheten. Hvis du for eksempel vil lete etter aktiviteter som involverer bestemte enheter, kan du bruke filtrene under enhetshendelser-delen .
Obs!
Hvis du velger et filter som ikke er i listen over grunnleggende filtre, deaktiveres eller nedtones veksleknappen for å gå tilbake til den grunnleggende filtervisningen. Hvis du vil tilbakestille spørringen eller fjerne eksisterende filtre i gjeldende spørring, velger du Fjern alle. Dette reaktiverer også listen over grunnleggende filtre.
Deretter angir du den aktuelle betingelsen for å filtrere dataene ytterligere ved å velge dem fra den andre rullegardinmenyen og oppgi oppføringer i den tredje rullegardinmenyen om nødvendig:
Du kan legge til flere betingelser i spørringen ved hjelp av OG- og ELLER-betingelser . OG returnerer resultater som oppfyller alle betingelsene i spørringen, mens ELLER returnerer resultater som oppfyller noen av betingelsene i spørringen.
Ved å finjustere spørringen kan du automatisk sile gjennom voluminøse poster for å generere en liste over resultater som allerede er rettet mot ditt spesifikke trusseljaktbehov.
Hvis du vil vite hvilke datatyper som støttes og andre funksjoner for veiledet modus for å hjelpe deg med å finjustere spørringen, kan du lese Begrens spørringen i veiledet modus.
Prøv eksempler på spørringsgjennomganger
En annen måte å bli kjent med veiledet jakt på, er å laste inn eksempelspørringer som er forhåndsopprettet i veiledet modus.
I Komme i gang-delen på jaktsiden har vi gitt tre veiledede spørringseksempler som du kan laste inn. Spørringseksempler inneholder noen av de vanligste filtrene og inndataene du vanligvis trenger i jakten. Hvis du laster inn en av de tre eksempelspørringene, åpnes en veiledet innføring i hvordan du konstruerer oppføringen ved hjelp av veiledet modus.
Følg instruksjonene i de blå undervisningsboblene for å konstruere spørringen. Velg Kjør spørring.
Prøv noen spørringer
Jakt etter vellykkede tilkoblinger til spesifikk IP
Hvis du vil søke etter vellykket nettverkskommunikasjon til en bestemt IP-adresse, kan du begynne å skrive inn «ip» for å få foreslåtte filtre:
Hvis du vil se etter hendelser som involverer en bestemt IP-adresse der IP-adressen er målet for kommunikasjonen, velger du DestinationIPAddress
under delen IP-adressehendelser. Velg deretter likhetsoperatoren . Skriv inn IP-adressen i den tredje rullegardinmenyen, og trykk enter:
Hvis du deretter vil legge til en annen betingelse som søker etter vellykkede nettverkskommunikasjonshendelser, søker du etter filteret for en bestemt hendelsestype:
EventType-filteret ser etter de ulike hendelsestypene som er logget. Den tilsvarer ActionType-kolonnen som finnes i de fleste tabellene i avansert jakt. Velg den for å velge én eller flere hendelsestyper å filtrere etter. Hvis du vil se etter vellykkede nettverkskommunikasjonshendelser, utvider du DeviceNetworkEvents-delen og velger ConnectionSuccess
deretter:
Til slutt velger du Kjør spørring for å søke etter all vellykket nettverkskommunikasjon til 52.168.117.170 IP-adressen:
Jakten på e-post med høy visshet eller søppelpost levert til innboksen
Hvis du vil se etter alle phish- og søppelpostpost som ble levert til innboksmappen på leveringstidspunktet, velger du først ConfidenceLevel under E-posthendelser, velger er lik og velger Høy under både Phish og Spam fra den foreslåtte lukkede listen som støtter flervalg:
Deretter legger du til en annen betingelse, denne gangen angir du mappen eller DeliveryLocation, innboks/mappe.
Se også
- Begrens spørringen i veiledet modus
- Arbeide med spørringsresultater i veiledet modus
- Forstå skjemaet
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.