Uw query verfijnen in de begeleide modus
Van toepassing op:
- Microsoft Defender XDR
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Verschillende gegevenstypen gebruiken
Geavanceerde opsporing in de begeleide modus ondersteunt verschillende gegevenstypen die u kunt gebruiken om uw query te verfijnen.
Getallen
Tekenreeksen
Typ in het vrije tekstvak de waarde en druk op Enter om deze toe te voegen. Het scheidingsteken tussen waarden is Enter.
Booleaanse waarde
Datetime
Gesloten lijst: u hoeft de exacte waarde die u zoekt niet te onthouden. U kunt eenvoudig kiezen uit een voorgestelde gesloten lijst die ondersteuning biedt voor meerdere selecties.
Subgroepen gebruiken
U kunt groepen voorwaarden maken door te klikken op Subgroep toevoegen:
Slim automatisch aanvullen gebruiken voor zoeken
Slim automatisch aanvullen voor het zoeken naar apparaten en gebruikersaccounts wordt ondersteund. U hoeft de apparaat-id, volledige apparaatnaam of gebruikersnaam niet te onthouden. U kunt beginnen met het typen van de eerste tekens van het apparaat of de gebruiker die u zoekt. Er wordt een lijst weergegeven waaruit u kunt kiezen wat u nodig hebt:
Gebruik EventType
U kunt zelfs zoeken naar specifieke gebeurtenistypen, zoals alle mislukte aanmeldingen, bestandswijzigingsgebeurtenissen of geslaagde netwerkverbindingen met behulp van het EventType-filter in elke sectie waar dit van toepassing is.
Als u bijvoorbeeld een voorwaarde wilt toevoegen die zoekt naar verwijderingen van registerwaarden, kunt u naar de sectie Register-gebeurtenissen gaan en EventType selecteren.
Als u EventType selecteert onder Registergebeurtenissen, kunt u kiezen uit verschillende registergebeurtenissen, waaronder de gebeurtenis waarop u zoekt , RegistryValueDeleted.
Opmerking
EventType is het equivalent van ActionType in het gegevensschema, waarmee gebruikers van de geavanceerde modus mogelijk meer bekend zijn.
Uw query testen met een kleinere voorbeeldgrootte
Als u nog steeds aan uw query werkt en snel de prestaties en enkele voorbeeldresultaten wilt zien, past u het aantal records aan dat moet worden geretourneerd door een kleinere set te kiezen in het vervolgkeuzemenu Voorbeeldgrootte .
De steekproefgrootte is standaard ingesteld op 10.000 resultaten. Dit is het maximum aantal records dat kan worden geretourneerd tijdens de jacht. We raden u echter ten zeerste aan de steekproefgrootte te verlagen tot 10 of 100 om uw query snel te testen, omdat dit minder resources verbruikt terwijl u nog bezig bent met het verbeteren van de query.
Zodra u de query hebt voltooid en klaar bent om deze te gebruiken om alle relevante resultaten voor uw opsporingsactiviteit op te halen, moet u ervoor zorgen dat de steekproefgrootte is ingesteld op 10.000, het maximum.
Overschakelen naar de geavanceerde modus nadat u een query hebt gebouwd
U kunt op Bewerken in KQL klikken om de KQL-query weer te geven die is gegenereerd door de geselecteerde voorwaarden. Met bewerken in KQL wordt een nieuw tabblad geopend in de geavanceerde modus, met de bijbehorende KQL-query:
In het bovenstaande voorbeeld is de geselecteerde weergave Alle. Daarom kunt u zien dat de KQL-query alle tabellen doorzoekt met bestandseigenschappen van naam en SHA256, en in alle relevante kolommen die deze eigenschappen behandelen.
Als u de weergave wijzigt in E-mails & samenwerking, wordt de query beperkt tot:
Zie ook
- Geavanceerde opsporingsquota en gebruiksparameters
- Geavanceerde opsporingsdekking uitbreiden met de juiste instellingen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.