Krijg deskundige training over geavanceerde opsporing
Van toepassing op:
- Microsoft Defender XDR
Vergroot uw kennis van geavanceerde opsporing snel met Tracking the adversary, een webcast-serie voor nieuwe beveiligingsanalisten en doorgewinterde bedreigingsjagers. De reeks begeleidt u door de basisbeginselen tot het maken van uw eigen geavanceerde query's. Begin met de eerste video over basisbeginselen of ga naar meer geavanceerde video's die passen bij uw ervaringsniveau.
Titel | Omschrijving | Volgen | Query's |
---|---|---|---|
Aflevering 1: Basisprincipes van KQL | Deze aflevering behandelt de basisbeginselen van geavanceerde jacht in Microsoft Defender XDR. Meer informatie over beschikbare geavanceerde opsporingsgegevens en eenvoudige KQL-syntaxis en operators. | YouTube (54:14) | Tekstbestand |
Aflevering 2: Joins | Blijf meer leren over gegevens in geavanceerde opsporing en hoe u tabellen aan elkaar koppelt. Meer informatie over inner , outer , unique en semi joins en inzicht in de nuances van de standaard Kusto-join innerunique . |
YouTube (53:33) | Tekstbestand |
Aflevering 3: Gegevens samenvatten, draaien en visualiseren | Nu u hebt geleerd hoe u gegevens kunt filteren, bewerken en samenvoegen, is het tijd om samen te vatten, te kwantificeren, te draaien en te visualiseren. In deze aflevering worden de summarize operator en verschillende berekeningen besproken, terwijl er extra tabellen in het schema worden toegevoegd. U leert ook hoe u gegevenssets kunt omzetten in grafieken die u kunnen helpen inzicht te verkrijgen. |
YouTube (48:52) | Tekstbestand |
Aflevering 4: Let's hunt! KQL toepassen op incidenttracking | In deze aflevering leert u hoe u bepaalde activiteiten van aanvallers kunt bijhouden. We gebruiken ons verbeterde begrip van Kusto en geavanceerde opsporing om een aanval op te sporen. Leer werkelijke trucs die in het veld worden gebruikt, waaronder de ACC's van cyberbeveiliging en hoe u deze kunt toepassen op incidentrespons. | YouTube (59:36) | Tekstbestand |
Krijg meer deskundige training met L33TSP3AK: Geavanceerde opsporing in Microsoft Defender XDR, een webcastserie voor analisten die hun technische kennis en praktische vaardigheden willen uitbreiden bij het uitvoeren van beveiligingsonderzoeken met behulp van geavanceerde opsporing in Microsoft Defender XDR.
Titel | Omschrijving | Volgen | Query's |
---|---|---|---|
Aflevering 1 | In deze aflevering leert u verschillende aanbevolen procedures voor het uitvoeren van geavanceerde opsporingsquery's. Onder de onderwerpen die worden behandeld, zijn: hoe u uw query's optimaliseert, geavanceerde opsporing op ransomware gebruikt, JSON als een dynamisch type verwerkt en werkt met externe gegevensoperatoren. | YouTube (56:34) | Tekstbestand |
Aflevering 2 | In deze aflevering leert u hoe u verdachte of ongebruikelijke aanmeldingslocaties en gegevensexfiltratie kunt onderzoeken en erop kunt reageren via regels voor het doorsturen van postvak IN. Sebastien Molendijk, Senior Program Manager voor Cloud Security CxE, vertelt hoe u geavanceerde opsporing kunt gebruiken om incidenten met meerdere fasen te onderzoeken met Microsoft Defender for Cloud Apps gegevens. | YouTube (57:07) | Tekstbestand |
Aflevering 3 | In deze aflevering behandelen we de nieuwste verbeteringen in geavanceerde opsporing, het importeren van een externe gegevensbron in uw query en het gebruik van partitionering om grote queryresultaten te segmenteren in kleinere resultatensets om te voorkomen dat API-limieten worden bereikt. | YouTube (40:59) | Tekstbestand |
Het CSL-bestand gebruiken
Voordat u een aflevering start, opent u het bijbehorende tekstbestand op GitHub en kopieert u de inhoud ervan naar de geavanceerde opsporingsquery-editor. Terwijl u een aflevering watch, kunt u de gekopieerde inhoud gebruiken om de spreker te volgen en query's uit te voeren.
In het volgende fragment van een tekstbestand met de query's ziet u een uitgebreide set richtlijnen die zijn gemarkeerd als opmerkingen met //
.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Hetzelfde tekstbestand bevat query's voor en na de opmerkingen, zoals hieronder wordt weergegeven. Als u een specifieke query wilt uitvoeren met meerdere query's in de editor, verplaatst u de cursor naar die query en selecteert u Query uitvoeren.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Overige informatiebronnen
Titel | Omschrijving | Volgen |
---|---|---|
Tabellen samenvoegen in KQL | Meer informatie over de kracht van het samenvoegen van tabellen bij het maken van zinvolle resultaten. | YouTube (4:17) |
Tabellen optimaliseren in KQL | Leer hoe u time-outs kunt voorkomen bij het uitvoeren van complexe query's door uw query's te optimaliseren. | YouTube (5:38) |
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De geavanceerde opsporingsquerytaal leren
- Werken met queryresultaten
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.