Arbeide med avanserte spørringsresultater for jakt

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Selv om du kan konstruere avanserte jaktspørringer for å returnere nøyaktig informasjon, kan du også arbeide med spørringsresultatene for å få ytterligere innsikt og undersøke bestemte aktiviteter og indikatorer. Du kan utføre følgende handlinger på spørringsresultatene:

  • Vise resultater som en tabell eller et diagram
  • Eksportere tabeller og diagrammer
  • Drill ned til detaljert enhetsinformasjon
  • Justere spørringene direkte fra resultatene

Vise spørringsresultater som en tabell eller et diagram

Avansert jakt viser som standard spørringsresultater som tabelldata. Du kan også vise de samme dataene som et diagram. Avansert jakt støtter følgende visninger:

Visningstype Beskrivelse
Tabellen Viser spørringsresultatene i tabellformat
Stolpediagram Gjengir en serie med unike elementer på x-aksen som loddrette stolper med høyder som representerer numeriske verdier fra et annet felt
Sektordiagram Gjengir inndelingssektorer som representerer unike elementer. Størrelsen på hver sektor representerer numeriske verdier fra et annet felt.
Linjediagram Tegner inn numeriske verdier for en serie med unike elementer og kobler sammen de inntegnede verdiene
Punktdiagram Tegner inn numeriske verdier for en serie med unike elementer
Arealdiagram Tegner inn numeriske verdier for en serie med unike elementer og fyller inndelingene under de inntegnede verdiene
Stablet arealdiagram Tegner inn numeriske verdier for en serie unike elementer og stabler de fylte inndelingene under de inntegnede verdiene
Tidsdiagram Tegner inn verdier etter antall på en lineær tidsskala

Konstruere spørringer for effektive diagrammer

Ved gjengivelse av diagrammer identifiserer avansert jakt automatisk kolonner av interesse og de numeriske verdiene som skal aggregeres. For å få meningsfulle diagrammer kan du konstruere spørringene for å returnere de bestemte verdiene du vil se visualisert. Her er noen eksempelspørringer og de resulterende diagrammene.

Varsler etter alvorlighetsgrad

Bruk operatoren summarize til å få et numerisk antall verdier du vil lage et diagram over. Spørringen nedenfor bruker operatoren summarize til å få antall varsler etter alvorsgrad.

AlertInfo
| summarize Total = count() by Severity

Når resultatene gjengis, viser et stolpediagram hver alvorlighetsgradverdi som en egen kolonne:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Et eksempel på et diagram som viser avanserte jaktresultater i Microsoft Defender-portalen

Phishing-e-postmeldinger på tvers av ti avsenderdomener

Hvis du arbeider med en liste over verdier som ikke er begrenset, kan du bruke operatoren Top til å bare kartlegge verdiene med flest forekomster. Hvis du for eksempel vil ha de 10 beste avsenderdomenene med flest phishing-e-postmeldinger, bruker du spørringen nedenfor:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Bruk sektordiagramvisningen til effektivt å vise distribusjon på tvers av de øverste domenene:

Sektordiagrammet som viser avanserte jaktresultater i Microsoft Defender-portalen

Filaktiviteter over tid

Hvis du bruker operatoren summarizebin() med funksjonen, kan du se etter hendelser som involverer en bestemt indikator over tid. Spørringen nedenfor teller hendelser som involverer filen invoice.doc med 30-minutters intervaller for å vise pigger i aktivitet relatert til denne filen:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Linjediagrammet nedenfor fremhever tydelig tidsperioder med mer aktivitet som involverer invoice.doc:

Linjediagrammet som viser avanserte jaktresultater i Microsoft Defender-portalen

Eksportere tabeller og diagrammer

Når du har kjørt en spørring, velger du Eksporter for å lagre resultatene til den lokale filen. Den valgte visningen bestemmer hvordan resultatene eksporteres:

  • Tabellvisning – Spørringsresultatene eksporteres i tabellformat som en Microsoft Excel-arbeidsbok
  • Alle diagrammer – spørringsresultatene eksporteres som et JPEG-bilde av det gjengitte diagrammet

Drill ned fra spørringsresultater

Du kan også utforske resultatene på linje med følgende funksjoner:

  • Utvid et resultat ved å velge rullegardinpilen til venstre for hvert resultat
  • Der det er aktuelt, utvider du detaljer for resultater som er i JSON- og matriseformater, ved å velge rullegardinpilen til venstre for gjeldende kolonnenavn for å få mer lesbarhet
  • Åpne sideruten for å se detaljer om en post (samtidig med utvidede rader)

Skjermbilde av utvidelse av resultater for å drille ned

Du kan også høyreklikke på en resultatverdi i en rad, slik at du kan bruke den til å legge til flere filtre i den eksisterende spørringen eller kopiere verdien for bruk i videre undersøkelser.

Skjermbilde av alternativer når du høyreklikker på et alternativ

For JSON- og matrisefelt kan du i tillegg høyreklikke og oppdatere den eksisterende spørringen for å inkludere eller utelate feltet, eller utvide feltet til en ny kolonne.

Skjermbilde av alternativer ved høyreklikking av et alternativ for JSON- og matrisefelt

Hvis du raskt vil undersøke en post i spørringsresultatene, velger du den tilsvarende raden for å åpne Undersøk post-panelet . Panelet inneholder følgende informasjon basert på den valgte posten:

  • Aktiva – Oppsummert visning av hovedressursene (postbokser, enheter og brukere) som finnes i posten, beriket med tilgjengelig informasjon, for eksempel risiko- og eksponeringsnivåer
  • Alle detaljer – alle verdiene fra kolonnene i posten

Den valgte posten med panel for å undersøke posten i Microsoft Defender-portalen

Hvis du vil vise mer informasjon om en bestemt enhet i spørringsresultatene, for eksempel en maskin, fil, bruker, IP-adresse eller nettadresse, velger du enhets-ID-en for å åpne en detaljert profilside for denne enheten.

Justere spørringene fra resultatene

Velg de tre prikkene til høyre for en kolonne i Undersøk post-panelet . Du kan bruke alternativene til å:

  • Se eksplisitt etter den valgte verdien (==)
  • Utelat den valgte verdien fra spørringen (!=)
  • Få mer avanserte operatorer for å legge til verdien i spørringen, for eksempel contains, starts withog ends with

Handlingstype-ruten på Undersøk post-siden i Microsoft Defender-portalen

Obs!

Noen tabeller i denne artikkelen er kanskje ikke tilgjengelige på Microsoft Defender for endepunkt. Slå på Microsoft Defender XDR for å lete etter trusler ved hjelp av flere datakilder. Du kan flytte avanserte jaktarbeidsflyter fra Microsoft Defender for endepunkt til Microsoft Defender XDR ved å følge trinnene i Overføre avanserte jaktspørringer fra Microsoft Defender for endepunkt.

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.