Udostępnij za pośrednictwem


Uzyskiwanie specjalistycznych szkoleń na temat zaawansowanego wyszukiwania zagrożeń

Dotyczy:

  • Microsoft Defender XDR

Zwiększ swoją wiedzę na temat zaawansowanego wyszukiwania zagrożeń dzięki funkcji Tracking the adversary , serii audycji internetowych dla nowych analityków zabezpieczeń i doświadczonych łowców zagrożeń. Seria przeprowadzi Cię przez podstawy do tworzenia własnych zaawansowanych zapytań. Zacznij od pierwszego wideo na temat podstaw lub przejdź do bardziej zaawansowanych filmów wideo, które pasują do Twojego poziomu doświadczenia.

Tytuł Opis Obejrzyj Zapytania
Odcinek 1: Podstawy KQL Ten odcinek obejmuje podstawy zaawansowanych polowań w Microsoft Defender XDR. Dowiedz się więcej na temat dostępnych zaawansowanych danych wyszukiwania zagrożeń oraz podstawowej składni i operatorów KQL. YouTube (54:14) Plik tekstowy
Odcinek 2: Sprzężenia Kontynuuj naukę o danych w zaawansowanym polowaniu i sposobie łączenia tabel ze sobą. Dowiedz się więcej o innersprzężeniach , outer, uniquei semi oraz zapoznaj się z niuansami domyślnego sprzężenia Kusto innerunique . YouTube (53:33) Plik tekstowy
Odcinek 3. Podsumowanie, przestawianie i wizualizowanie danych Teraz, gdy już wiesz już, jak filtrować, manipulować danymi i dołączać do niego, nadszedł czas na podsumowanie, kwantyfikację, przestawianie i wizualizowanie. W tym odcinku omówiono summarize operator i różne obliczenia, wprowadzając jednocześnie dodatkowe tabele w schemacie. Dowiesz się również, jak przekształcić zestawy danych w wykresy, które mogą pomóc w wyodrębnianiu szczegółowych informacji. YouTube (48:52) Plik tekstowy
Odcinek 4. Polowanie! Stosowanie KQL do śledzenia zdarzeń W tym odcinku nauczysz się śledzić aktywność osoby atakującej. Korzystamy z naszego lepszego zrozumienia Kusto i zaawansowanego wyszukiwania zagrożeń w celu śledzenia ataku. Poznaj rzeczywiste sztuczki używane w tej dziedzinie, w tym abcs cyberbezpieczeństwa i jak zastosować je do reagowania na zdarzenia. YouTube (59:36) Plik tekstowy

Uzyskaj więcej specjalistycznych szkoleń z L33TSP3AK: Zaawansowane wyszukiwanie zagrożeń w Microsoft Defender XDR, seria audycji internetowych dla analityków, którzy chcą rozszerzyć swoją wiedzę techniczną i praktyczne umiejętności w prowadzeniu badań bezpieczeństwa przy użyciu zaawansowanego polowania w Microsoft Defender XDR.

Tytuł Opis Obejrzyj Zapytania
Odcinek 1 W tym odcinku poznasz różne najlepsze rozwiązania dotyczące uruchamiania zaawansowanych zapytań dotyczących wyszukiwania zagrożeń. Wśród omówionych tematów są: jak zoptymalizować zapytania, używać zaawansowanego wyszukiwania zagrożeń dla oprogramowania wymuszającego okup, obsługiwać format JSON jako typ dynamiczny i pracować z zewnętrznymi operatorami danych. YouTube (56:34) Plik tekstowy
Odcinek 2 W tym odcinku dowiesz się, jak badać podejrzane lub nietypowe lokalizacje logowania i eksfiltrować dane oraz reagować na nie za pośrednictwem reguł przekazywania skrzynki odbiorczej. Sebastien Molendijk, starszy menedżer programu w usłudze Cloud Security CxE, dzieli się sposobem używania zaawansowanego wyszukiwania zagrożeń do badania wieloetapowych zdarzeń z Microsoft Defender for Cloud Apps danych. YouTube (57:07) Plik tekstowy
Odcinek 3 W tym odcinku omówimy najnowsze ulepszenia zaawansowanego wyszukiwania zagrożeń, sposób importowania zewnętrznego źródła danych do zapytania oraz sposób użycia partycjonowania w celu dzielenia wyników dużych zapytań na mniejsze zestawy wyników, aby uniknąć osiągnięcia limitów interfejsu API. YouTube (40:59) Plik tekstowy

Jak używać pliku CSL

Przed rozpoczęciem odcinka uzyskaj dostęp do odpowiedniego pliku tekstowego w usłudze GitHub i skopiuj jego zawartość do zaawansowanego edytora zapytań wyszukiwania zagrożeń. Podczas watch odcinka możesz użyć skopiowanych treści, aby śledzić osoby mówiące i uruchamiać zapytania.

Poniższy fragment pliku tekstowego zawierającego zapytania zawiera kompleksowy zestaw wskazówek oznaczonych jako komentarze za pomocą //polecenia .

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

Ten sam plik tekstowy zawiera zapytania przed i po komentarzach, jak pokazano poniżej. Aby uruchomić określone zapytanie z wieloma zapytaniami w edytorze, przenieś kursor do tego zapytania i wybierz pozycję Uruchom zapytanie.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

Inne zasoby

Tytuł Opis Obejrzyj
Łączenie tabel w języku KQL Poznaj możliwości łączenia tabel w tworzeniu znaczących wyników. YouTube (4:17)
Optymalizowanie tabel w języku KQL Dowiedz się, jak uniknąć przekroczeń limitu czasu podczas uruchamiania złożonych zapytań, optymalizując zapytania. YouTube (5:38)

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.