Arbeide med avanserte spørringsresultater for jakt
Gjelder for:
- Microsoft Defender XDR
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Selv om du kan konstruere avanserte jaktspørringer for å returnere nøyaktig informasjon, kan du også arbeide med spørringsresultatene for å få ytterligere innsikt og undersøke bestemte aktiviteter og indikatorer. Du kan utføre følgende handlinger på spørringsresultatene:
- Vise resultater som en tabell eller et diagram
- Eksportere tabeller og diagrammer
- Drill ned til detaljert enhetsinformasjon
- Justere spørringene direkte fra resultatene
Vise spørringsresultater som en tabell eller et diagram
Avansert jakt viser som standard spørringsresultater som tabelldata. Du kan også vise de samme dataene som et diagram. Avansert jakt støtter følgende visninger:
Visningstype | Beskrivelse |
---|---|
Tabellen | Viser spørringsresultatene i tabellformat |
Stolpediagram | Gjengir en serie med unike elementer på x-aksen som loddrette stolper med høyder som representerer numeriske verdier fra et annet felt |
Sektordiagram | Gjengir inndelingssektorer som representerer unike elementer. Størrelsen på hver sektor representerer numeriske verdier fra et annet felt. |
Linjediagram | Tegner inn numeriske verdier for en serie med unike elementer og kobler sammen de inntegnede verdiene |
Punktdiagram | Tegner inn numeriske verdier for en serie med unike elementer |
Arealdiagram | Tegner inn numeriske verdier for en serie med unike elementer og fyller inndelingene under de inntegnede verdiene |
Stablet arealdiagram | Tegner inn numeriske verdier for en serie unike elementer og stabler de fylte inndelingene under de inntegnede verdiene |
Tidsdiagram | Tegner inn verdier etter antall på en lineær tidsskala |
Konstruere spørringer for effektive diagrammer
Ved gjengivelse av diagrammer identifiserer avansert jakt automatisk kolonner av interesse og de numeriske verdiene som skal aggregeres. For å få meningsfulle diagrammer kan du konstruere spørringene for å returnere de bestemte verdiene du vil se visualisert. Her er noen eksempelspørringer og de resulterende diagrammene.
Varsler etter alvorlighetsgrad
Bruk operatoren summarize
til å få et numerisk antall verdier du vil lage et diagram over. Spørringen nedenfor bruker operatoren summarize
til å få antall varsler etter alvorsgrad.
AlertInfo
| summarize Total = count() by Severity
Når resultatene gjengis, viser et stolpediagram hver alvorlighetsgradverdi som en egen kolonne:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Phishing-e-postmeldinger på tvers av ti avsenderdomener
Hvis du arbeider med en liste over verdier som ikke er begrenset, kan du bruke operatoren Top
til å bare kartlegge verdiene med flest forekomster. Hvis du for eksempel vil ha de 10 beste avsenderdomenene med flest phishing-e-postmeldinger, bruker du spørringen nedenfor:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Bruk sektordiagramvisningen til effektivt å vise distribusjon på tvers av de øverste domenene:
Filaktiviteter over tid
Hvis du bruker operatoren summarize
bin()
med funksjonen, kan du se etter hendelser som involverer en bestemt indikator over tid. Spørringen nedenfor teller hendelser som involverer filen invoice.doc
med 30-minutters intervaller for å vise pigger i aktivitet relatert til denne filen:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
Linjediagrammet nedenfor fremhever tydelig tidsperioder med mer aktivitet som involverer invoice.doc
:
Eksportere tabeller og diagrammer
Når du har kjørt en spørring, velger du Eksporter for å lagre resultatene til den lokale filen. Den valgte visningen bestemmer hvordan resultatene eksporteres:
- Tabellvisning – Spørringsresultatene eksporteres i tabellformat som en Microsoft Excel-arbeidsbok
- Alle diagrammer – spørringsresultatene eksporteres som et JPEG-bilde av det gjengitte diagrammet
Drill ned fra spørringsresultater
Du kan også utforske resultatene på linje med følgende funksjoner:
- Utvid et resultat ved å velge rullegardinpilen til venstre for hvert resultat
- Der det er aktuelt, utvider du detaljer for resultater som er i JSON- og matriseformater, ved å velge rullegardinpilen til venstre for gjeldende kolonnenavn for å få mer lesbarhet
- Åpne sideruten for å se detaljer om en post (samtidig med utvidede rader)
Du kan også høyreklikke på en resultatverdi i en rad, slik at du kan bruke den til å legge til flere filtre i den eksisterende spørringen eller kopiere verdien for bruk i videre undersøkelser.
For JSON- og matrisefelt kan du i tillegg høyreklikke og oppdatere den eksisterende spørringen for å inkludere eller utelate feltet, eller utvide feltet til en ny kolonne.
Hvis du raskt vil undersøke en post i spørringsresultatene, velger du den tilsvarende raden for å åpne Undersøk post-panelet . Panelet inneholder følgende informasjon basert på den valgte posten:
- Aktiva – Oppsummert visning av hovedressursene (postbokser, enheter og brukere) som finnes i posten, beriket med tilgjengelig informasjon, for eksempel risiko- og eksponeringsnivåer
- Alle detaljer – alle verdiene fra kolonnene i posten
Hvis du vil vise mer informasjon om en bestemt enhet i spørringsresultatene, for eksempel en maskin, fil, bruker, IP-adresse eller nettadresse, velger du enhets-ID-en for å åpne en detaljert profilside for denne enheten.
Justere spørringene fra resultatene
Velg de tre prikkene til høyre for en kolonne i Undersøk post-panelet . Du kan bruke alternativene til å:
- Se eksplisitt etter den valgte verdien (
==
) - Utelat den valgte verdien fra spørringen (
!=
) - Få mer avanserte operatorer for å legge til verdien i spørringen, for eksempel
contains
,starts with
ogends with
Obs!
Noen tabeller i denne artikkelen er kanskje ikke tilgjengelige på Microsoft Defender for endepunkt. Slå på Microsoft Defender XDR for å lete etter trusler ved hjelp av flere datakilder. Du kan flytte avanserte jaktarbeidsflyter fra Microsoft Defender for endepunkt til Microsoft Defender XDR ved å følge trinnene i Overføre avanserte jaktspørringer fra Microsoft Defender for endepunkt.
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
- Oversikt over egendefinerte gjenkjenninger
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
https://aka.ms/ContentUserFeedback.
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se:Send inn og vis tilbakemelding for