Werken met geavanceerde opsporingsqueryresultaten
Van toepassing op:
- Microsoft Defender XDR
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Hoewel u uw geavanceerde opsporingsquery's kunt samenstellen om nauwkeurige informatie te retourneren, kunt u ook werken met de queryresultaten om meer inzicht te krijgen en specifieke activiteiten en indicatoren te onderzoeken. U kunt de volgende acties uitvoeren voor uw queryresultaten:
- Resultaten weergeven als een tabel of grafiek
- Tabellen en grafieken exporteren
- Inzoomen op gedetailleerde entiteitsgegevens
- Uw query's rechtstreeks vanuit de resultaten aanpassen
Queryresultaten weergeven als een tabel of grafiek
Bij geavanceerde opsporing worden queryresultaten standaard weergegeven als gegevens in tabelvorm. U kunt ook dezelfde gegevens weergeven als een grafiek. Geavanceerde opsporing ondersteunt de volgende weergaven:
Weergavetype | Beschrijving |
---|---|
Tabel | Geeft de queryresultaten weer in tabelvorm |
Kolomdiagram | Geeft een reeks unieke items op de x-as weer als verticale balken waarvan de hoogte numerieke waarden uit een ander veld vertegenwoordigt |
Cirkeldiagram | Hiermee worden sectietaarten weergegeven die unieke items vertegenwoordigen. De grootte van elke cirkel vertegenwoordigt numerieke waarden uit een ander veld. |
Lijndiagram | Hiermee worden numerieke waarden voor een reeks unieke items getekend en worden de getekende waarden met elkaar verbonden |
Spreidingsdiagram | Numerieke waarden voor een reeks unieke items |
Vlakdiagram | Hiermee worden numerieke waarden voor een reeks unieke items weergegeven en worden de secties onder de getekende waarden ingevuld |
Gestapeld vlakdiagram | Hiermee worden numerieke waarden voor een reeks unieke items weergegeven en worden de gevulde secties onder de getekende waarden gestapeld |
Tijddiagram | Waarden op basis van een lineaire tijdschaal uitlijnen |
Query's maken voor effectieve grafieken
Bij het weergeven van grafieken identificeert geavanceerde opsporing automatisch de gewenste kolommen en de numerieke waarden die moeten worden samengevoegd. Als u zinvolle grafieken wilt weergeven, maakt u uw query's om de specifieke waarden te retourneren die u wilt visualiseren. Hier volgen enkele voorbeeldquery's en de resulterende grafieken.
Waarschuwingen per ernst
Gebruik de summarize
operator om een numerieke telling op te halen van de waarden die u wilt weergeven. In de onderstaande query wordt de summarize
operator gebruikt om het aantal waarschuwingen per ernst op te halen.
AlertInfo
| summarize Total = count() by Severity
Bij het weergeven van de resultaten geeft een kolomdiagram elke ernstwaarde weer als een afzonderlijke kolom:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Phishing-e-mailberichten in de tien belangrijkste afzenderdomeinen
Als u te maken hebt met een lijst met waarden die niet eindig is, kunt u de Top
operator gebruiken om alleen de waarden in kaart te brengen met de meeste exemplaren. Als u bijvoorbeeld de top 10 afzenderdomeinen met de meeste phishing-e-mailberichten wilt ophalen, gebruikt u de onderstaande query:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Gebruik de cirkeldiagramweergave om de distributie over de bovenste domeinen effectief weer te geven:
Bestandsactiviteiten in de loop van de tijd
Met behulp van de summarize
operator met de functie kunt u in de bin()
loop van de tijd controleren op gebeurtenissen waarbij een bepaalde indicator betrokken is. In de onderstaande query worden gebeurtenissen met het bestand invoice.doc
met intervallen van 30 minuten geteld om pieken in activiteit met betrekking tot dat bestand weer te geven:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
Het lijndiagram hieronder markeert duidelijk tijdsperioden met meer activiteit met betrekking tot invoice.doc
:
Tabellen en grafieken exporteren
Nadat u een query hebt uitgevoerd, selecteert u Exporteren om de resultaten op te slaan in een lokaal bestand. De gekozen weergave bepaalt hoe de resultaten worden geëxporteerd:
- Tabelweergave: de queryresultaten worden in tabelvorm geëxporteerd als een Microsoft Excel-werkmap
- Elke grafiek: de queryresultaten worden geëxporteerd als een JPEG-afbeelding van de weergegeven grafiek
Resultaten filteren
Nadat u een query hebt uitgevoerd, selecteert u Filter om de resultaten te beperken.
Als u een filter wilt toevoegen, selecteert u de gegevens waarop u wilt filteren door een of meer selectievakjes in te schakelen. Selecteer vervolgens Toevoegen.
U kunt de resultaten nog verder beperken tot specifieke gegevens door het zojuist toegevoegde filter te selecteren.
Hiermee opent u een vervolgkeuzelijst met de mogelijke filters die u verder kunt gebruiken. Schakel een of meer van de selectievakjes in en selecteer vervolgens Toepassen.
Controleer of u de gewenste filters hebt toegevoegd door de sectie Filters te controleren.
Inzoomen op queryresultaten
U kunt de resultaten ook verkennen in overeenstemming met de volgende functies:
- Een resultaat uitvouwen door de vervolgkeuzepijl links van elk resultaat te selecteren
- Vouw, indien van toepassing, details uit voor resultaten in JSON- en matrixindelingen door de vervolgkeuzepijl links van de toepasselijke kolomnamen te selecteren voor extra leesbaarheid
- Open het zijdeelvenster om de details van een record te bekijken (gelijktijdig met uitgevouwen rijen)
U kunt ook met de rechtermuisknop op een resultaatwaarde in een rij klikken, zodat u deze kunt gebruiken om meer filters toe te voegen aan de bestaande query of de waarde te kopiëren voor verder onderzoek.
Bovendien kunt u voor JSON- en matrixvelden met de rechtermuisknop klikken en de bestaande query bijwerken om het veld op te nemen of uit te sluiten, of om het veld uit te breiden naar een nieuwe kolom.
Als u snel een record in uw queryresultaten wilt inspecteren, selecteert u de bijbehorende rij om het deelvenster Record inspecteren te openen. Het deelvenster bevat de volgende informatie op basis van de geselecteerde record:
- Assets: een overzicht van de belangrijkste assets (postvakken, apparaten en gebruikers) in de record, verrijkt met beschikbare informatie, zoals risico- en blootstellingsniveaus
- Alle details: alle waarden uit de kolommen in de record
Als u meer informatie wilt weergeven over een specifieke entiteit in uw queryresultaten, zoals een computer, bestand, gebruiker, IP-adres of URL, selecteert u de entiteits-id om een gedetailleerde profielpagina voor die entiteit te openen.
Uw query's aanpassen aan de resultaten
Selecteer de drie puntjes rechts van een kolom in het deelvenster Record inspecteren . U kunt de opties gebruiken om het volgende te doen:
- Zoek expliciet naar de geselecteerde waarde (
==
) - De geselecteerde waarde uitsluiten van de query (
!=
) - Meer geavanceerde operators voor het toevoegen van de waarde aan uw query, zoals
contains
,starts with
enends with
Opmerking
Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar bij Microsoft Defender voor Eindpunt. Schakel Microsoft Defender XDR in om bedreigingen op te sporen met behulp van meer gegevensbronnen. U kunt uw geavanceerde opsporingswerkstromen van Microsoft Defender voor Eindpunt verplaatsen naar Microsoft Defender XDR door de stappen te volgen in Geavanceerde opsporingsquery's migreren van Microsoft Defender voor Eindpunt.
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
- Overzicht van aangepaste detectie
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.