Begrens spørringen i veiledet modus

Gjelder for:

• Microsoft Defender XDR

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Bruk ulike datatyper

Avansert jakt i veiledet modus støtter flere datatyper som du kan bruke til å finjustere spørringen.

• Tall
  

• Strenger
  

  Skriv inn verdien i den frie tekstboksen, og trykk enter for å legge den til. Vær oppmerksom på at skilletegnet mellom verdiene er Enter.
  

  

• Boolsk
  

• Datetime
  

• Lukket liste – Du trenger ikke å huske den nøyaktige verdien du leter etter. Du kan enkelt velge fra en foreslått lukket liste som støtter flervalg.
  

Bruke undergrupper

Du kan opprette grupper med betingelser ved å klikke Legg til undergruppe:

Bruk smart autofullføring for søk

Smart autofullføring for å søke etter enheter og brukerkontoer støttes. Du trenger ikke å huske enhets-ID-en, det fullstendige enhetsnavnet eller brukerkontonavnet. Du kan begynne å skrive inn de første tegnene på enheten eller brukeren du leter etter, og en foreslått liste vises der du kan velge hva du trenger:

Bruke EventType

Du kan også se etter bestemte hendelsestyper som alle mislykkede pålogginger, filendringshendelser eller vellykkede nettverkstilkoblinger ved hjelp av EventType-filteret i alle inndelinger der det er aktuelt.

Hvis du for eksempel vil legge til en betingelse som ser etter slettinger av registerverdier, kan du gå til Registerhendelser-delen og velge EventType.

Hvis du velger EventType under Registerhendelser, kan du velge mellom forskjellige registerhendelser, inkludert den du jakter på, RegistryValueDeleted.

Obs!

EventType tilsvarer ActionType i dataskjemaet, som brukere av avansert modus kan være mer kjent med.

Test spørringen med en mindre utvalgsstørrelse

Hvis du fortsatt arbeider med spørringen og ønsker å se ytelsen og noen eksempelresultater raskt, kan du justere antall poster som skal returneres, ved å velge et mindre sett gjennom rullegardinmenyen eksempelstørrelse .

Eksempelstørrelsen er satt til 10 000 resultater som standard. Dette er maksimalt antall poster som kan returneres under jakt. Vi anbefaler imidlertid på det sterkeste å senke utvalgsstørrelsen til 10 eller 100 for raskt å teste spørringen, ettersom dette bruker færre ressurser mens du fortsatt arbeider med å forbedre spørringen.

Så, når du fullfører spørringen og er klar til å bruke den til å få alle relevante resultater for jaktaktiviteten, må du kontrollere at størrelsen på utvalget er satt til 10k, maksimum.

Bytte til avansert modus etter å ha bygget en spørring

Du kan klikke rediger i KQL for å vise KQL-spørringen som genereres av de valgte betingelsene. Redigering i KQL åpner en ny fane i avansert modus, med den tilsvarende KQL-spørringen:

I eksemplet ovenfor er den valgte visningen Alle, derfor kan du se at KQL-spørringen søker i alle tabeller som har filegenskaper for navn og SHA256, og i alle relevante kolonner som dekker disse egenskapene.

Hvis du endrer visningen til e-postmeldinger & samarbeid, begrenses spørringen til:

Se også

• Avanserte jaktkvoter og bruksparametere
• Utvid avansert jaktdekning med de riktige innstillingene

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.