Delen via


Werken met geavanceerde opsporingsqueryresultaten

Van toepassing op:

  • Microsoft Defender XDR

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Hoewel u uw geavanceerde opsporingsquery's kunt samenstellen om nauwkeurige informatie te retourneren, kunt u ook werken met de queryresultaten om meer inzicht te krijgen en specifieke activiteiten en indicatoren te onderzoeken. U kunt de volgende acties uitvoeren voor uw queryresultaten:

  • Resultaten weergeven als een tabel of grafiek
  • Tabellen en grafieken exporteren
  • Inzoomen op gedetailleerde entiteitsgegevens
  • Uw query's rechtstreeks vanuit de resultaten aanpassen

Queryresultaten weergeven als een tabel of grafiek

Bij geavanceerde opsporing worden queryresultaten standaard weergegeven als gegevens in tabelvorm. U kunt ook dezelfde gegevens weergeven als een grafiek. Geavanceerde opsporing ondersteunt de volgende weergaven:

Weergavetype Beschrijving
Tabel Geeft de queryresultaten weer in tabelvorm
Kolomdiagram Geeft een reeks unieke items op de x-as weer als verticale balken waarvan de hoogte numerieke waarden uit een ander veld vertegenwoordigt
Cirkeldiagram Hiermee worden sectietaarten weergegeven die unieke items vertegenwoordigen. De grootte van elke cirkel vertegenwoordigt numerieke waarden uit een ander veld.
Lijndiagram Hiermee worden numerieke waarden voor een reeks unieke items getekend en worden de getekende waarden met elkaar verbonden
Spreidingsdiagram Numerieke waarden voor een reeks unieke items
Vlakdiagram Hiermee worden numerieke waarden voor een reeks unieke items weergegeven en worden de secties onder de getekende waarden ingevuld
Gestapeld vlakdiagram Hiermee worden numerieke waarden voor een reeks unieke items weergegeven en worden de gevulde secties onder de getekende waarden gestapeld
Tijddiagram Waarden op basis van een lineaire tijdschaal uitlijnen

Query's maken voor effectieve grafieken

Bij het weergeven van grafieken identificeert geavanceerde opsporing automatisch de gewenste kolommen en de numerieke waarden die moeten worden samengevoegd. Als u zinvolle grafieken wilt weergeven, maakt u uw query's om de specifieke waarden te retourneren die u wilt visualiseren. Hier volgen enkele voorbeeldquery's en de resulterende grafieken.

Waarschuwingen per ernst

Gebruik de summarize operator om een numerieke telling op te halen van de waarden die u wilt weergeven. In de onderstaande query wordt de summarize operator gebruikt om het aantal waarschuwingen per ernst op te halen.

AlertInfo
| summarize Total = count() by Severity

Bij het weergeven van de resultaten geeft een kolomdiagram elke ernstwaarde weer als een afzonderlijke kolom:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Een voorbeeld van een grafiek met geavanceerde opsporingsresultaten in de Microsoft Defender-portal

Phishing-e-mailberichten in de tien belangrijkste afzenderdomeinen

Als u te maken hebt met een lijst met waarden die niet eindig is, kunt u de Top operator gebruiken om alleen de waarden in kaart te brengen met de meeste exemplaren. Als u bijvoorbeeld de top 10 afzenderdomeinen met de meeste phishing-e-mailberichten wilt ophalen, gebruikt u de onderstaande query:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Gebruik de cirkeldiagramweergave om de distributie over de bovenste domeinen effectief weer te geven:

Het cirkeldiagram met geavanceerde opsporingsresultaten in de Microsoft Defender-portal

Bestandsactiviteiten in de loop van de tijd

Met behulp van de summarize operator met de functie kunt u in de bin() loop van de tijd controleren op gebeurtenissen waarbij een bepaalde indicator betrokken is. In de onderstaande query worden gebeurtenissen met het bestand invoice.doc met intervallen van 30 minuten geteld om pieken in activiteit met betrekking tot dat bestand weer te geven:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Het lijndiagram hieronder markeert duidelijk tijdsperioden met meer activiteit met betrekking tot invoice.doc:

Het lijndiagram met geavanceerde opsporingsresultaten in de Microsoft Defender-portal

Tabellen en grafieken exporteren

Nadat u een query hebt uitgevoerd, selecteert u Exporteren om de resultaten op te slaan in een lokaal bestand. De gekozen weergave bepaalt hoe de resultaten worden geëxporteerd:

  • Tabelweergave: de queryresultaten worden in tabelvorm geëxporteerd als een Microsoft Excel-werkmap
  • Elke grafiek: de queryresultaten worden geëxporteerd als een JPEG-afbeelding van de weergegeven grafiek

Resultaten filteren

Nadat u een query hebt uitgevoerd, selecteert u Filter om de resultaten te beperken.

Schermopname van filters in geavanceerde opsporing.

Als u een filter wilt toevoegen, selecteert u de gegevens waarop u wilt filteren door een of meer selectievakjes in te schakelen. Selecteer vervolgens Toevoegen.

Schermopname van de vervolgkeuzelijst filters in geavanceerde opsporing.

U kunt de resultaten nog verder beperken tot specifieke gegevens door het zojuist toegevoegde filter te selecteren.

Schermopname van nieuwe filterpil in geavanceerde opsporing.

Hiermee opent u een vervolgkeuzelijst met de mogelijke filters die u verder kunt gebruiken. Schakel een of meer van de selectievakjes in en selecteer vervolgens Toepassen.

Schermopname van de vervolgkeuzelijst van het nieuwe filter in geavanceerde opsporing.

Controleer of u de gewenste filters hebt toegevoegd door de sectie Filters te controleren.

Schermopname van filters toegevoegd geavanceerde opsporing.

Inzoomen op queryresultaten

U kunt de resultaten ook verkennen in overeenstemming met de volgende functies:

  • Een resultaat uitvouwen door de vervolgkeuzepijl links van elk resultaat te selecteren
  • Vouw, indien van toepassing, details uit voor resultaten in JSON- en matrixindelingen door de vervolgkeuzepijl links van de toepasselijke kolomnamen te selecteren voor extra leesbaarheid
  • Open het zijdeelvenster om de details van een record te bekijken (gelijktijdig met uitgevouwen rijen)

Schermopname van het uitbreiden van resultaten om in te zoomen

U kunt ook met de rechtermuisknop op een resultaatwaarde in een rij klikken, zodat u deze kunt gebruiken om meer filters toe te voegen aan de bestaande query of de waarde te kopiëren voor verder onderzoek.

Schermafbeelding van opties wanneer u met de rechtermuisknop op een optie klikt

Bovendien kunt u voor JSON- en matrixvelden met de rechtermuisknop klikken en de bestaande query bijwerken om het veld op te nemen of uit te sluiten, of om het veld uit te breiden naar een nieuwe kolom.

Schermopname van opties bij het klikken met de rechtermuisknop op een optie voor JSON- en matrixvelden

Als u snel een record in uw queryresultaten wilt inspecteren, selecteert u de bijbehorende rij om het deelvenster Record inspecteren te openen. Het deelvenster bevat de volgende informatie op basis van de geselecteerde record:

  • Assets: een overzicht van de belangrijkste assets (postvakken, apparaten en gebruikers) in de record, verrijkt met beschikbare informatie, zoals risico- en blootstellingsniveaus
  • Alle details: alle waarden uit de kolommen in de record

De geselecteerde record met deelvenster voor het inspecteren van de record in de Microsoft Defender-portal

Als u meer informatie wilt weergeven over een specifieke entiteit in uw queryresultaten, zoals een computer, bestand, gebruiker, IP-adres of URL, selecteert u de entiteits-id om een gedetailleerde profielpagina voor die entiteit te openen.

Uw query's aanpassen aan de resultaten

Selecteer de drie puntjes rechts van een kolom in het deelvenster Record inspecteren . U kunt de opties gebruiken om het volgende te doen:

  • Zoek expliciet naar de geselecteerde waarde (==)
  • De geselecteerde waarde uitsluiten van de query (!=)
  • Meer geavanceerde operators voor het toevoegen van de waarde aan uw query, zoals contains, starts withen ends with

Het deelvenster Actietype op de pagina Record inspecteren in de Microsoft Defender-portal

Opmerking

Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar bij Microsoft Defender voor Eindpunt. Schakel Microsoft Defender XDR in om bedreigingen op te sporen met behulp van meer gegevensbronnen. U kunt uw geavanceerde opsporingswerkstromen van Microsoft Defender voor Eindpunt verplaatsen naar Microsoft Defender XDR door de stappen te volgen in Geavanceerde opsporingsquery's migreren van Microsoft Defender voor Eindpunt.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.