Delen via


Krijg deskundige training over geavanceerde opsporing

Van toepassing op:

  • Microsoft Defender XDR

Vergroot uw kennis van geavanceerde opsporing snel met Tracking the adversary, een webcast-serie voor nieuwe beveiligingsanalisten en doorgewinterde bedreigingsjagers. De reeks begeleidt u door de basisbeginselen tot het maken van uw eigen geavanceerde query's. Begin met de eerste video over basisbeginselen of ga naar meer geavanceerde video's die passen bij uw ervaringsniveau.

Titel Omschrijving Volgen Query's
Aflevering 1: Basisprincipes van KQL Deze aflevering behandelt de basisbeginselen van geavanceerde jacht in Microsoft Defender XDR. Meer informatie over beschikbare geavanceerde opsporingsgegevens en eenvoudige KQL-syntaxis en operators. YouTube (54:14) Tekstbestand
Aflevering 2: Joins Blijf meer leren over gegevens in geavanceerde opsporing en hoe u tabellen aan elkaar koppelt. Meer informatie over inner, outer, uniqueen semi joins en inzicht in de nuances van de standaard Kusto-join innerunique . YouTube (53:33) Tekstbestand
Aflevering 3: Gegevens samenvatten, draaien en visualiseren Nu u hebt geleerd hoe u gegevens kunt filteren, bewerken en samenvoegen, is het tijd om samen te vatten, te kwantificeren, te draaien en te visualiseren. In deze aflevering worden de summarize operator en verschillende berekeningen besproken, terwijl er extra tabellen in het schema worden toegevoegd. U leert ook hoe u gegevenssets kunt omzetten in grafieken die u kunnen helpen inzicht te verkrijgen. YouTube (48:52) Tekstbestand
Aflevering 4: Let's hunt! KQL toepassen op incidenttracking In deze aflevering leert u hoe u bepaalde activiteiten van aanvallers kunt bijhouden. We gebruiken ons verbeterde begrip van Kusto en geavanceerde opsporing om een aanval op te sporen. Leer werkelijke trucs die in het veld worden gebruikt, waaronder de ACC's van cyberbeveiliging en hoe u deze kunt toepassen op incidentrespons. YouTube (59:36) Tekstbestand

Krijg meer deskundige training met L33TSP3AK: Geavanceerde opsporing in Microsoft Defender XDR, een webcastserie voor analisten die hun technische kennis en praktische vaardigheden willen uitbreiden bij het uitvoeren van beveiligingsonderzoeken met behulp van geavanceerde opsporing in Microsoft Defender XDR.

Titel Omschrijving Volgen Query's
Aflevering 1 In deze aflevering leert u verschillende aanbevolen procedures voor het uitvoeren van geavanceerde opsporingsquery's. Onder de onderwerpen die worden behandeld, zijn: hoe u uw query's optimaliseert, geavanceerde opsporing op ransomware gebruikt, JSON als een dynamisch type verwerkt en werkt met externe gegevensoperatoren. YouTube (56:34) Tekstbestand
Aflevering 2 In deze aflevering leert u hoe u verdachte of ongebruikelijke aanmeldingslocaties en gegevensexfiltratie kunt onderzoeken en erop kunt reageren via regels voor het doorsturen van postvak IN. Sebastien Molendijk, Senior Program Manager voor Cloud Security CxE, vertelt hoe u geavanceerde opsporing kunt gebruiken om incidenten met meerdere fasen te onderzoeken met Microsoft Defender for Cloud Apps gegevens. YouTube (57:07) Tekstbestand
Aflevering 3 In deze aflevering behandelen we de nieuwste verbeteringen in geavanceerde opsporing, het importeren van een externe gegevensbron in uw query en het gebruik van partitionering om grote queryresultaten te segmenteren in kleinere resultatensets om te voorkomen dat API-limieten worden bereikt. YouTube (40:59) Tekstbestand

Het CSL-bestand gebruiken

Voordat u een aflevering start, opent u het bijbehorende tekstbestand op GitHub en kopieert u de inhoud ervan naar de geavanceerde opsporingsquery-editor. Terwijl u een aflevering watch, kunt u de gekopieerde inhoud gebruiken om de spreker te volgen en query's uit te voeren.

In het volgende fragment van een tekstbestand met de query's ziet u een uitgebreide set richtlijnen die zijn gemarkeerd als opmerkingen met //.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

Hetzelfde tekstbestand bevat query's voor en na de opmerkingen, zoals hieronder wordt weergegeven. Als u een specifieke query wilt uitvoeren met meerdere query's in de editor, verplaatst u de cursor naar die query en selecteert u Query uitvoeren.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

Overige informatiebronnen

Titel Omschrijving Volgen
Tabellen samenvoegen in KQL Meer informatie over de kracht van het samenvoegen van tabellen bij het maken van zinvolle resultaten. YouTube (4:17)
Tabellen optimaliseren in KQL Leer hoe u time-outs kunt voorkomen bij het uitvoeren van complexe query's door uw query's te optimaliseren. YouTube (5:38)

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.