Udostępnij za pośrednictwem


Zaawansowany przykład wyszukiwania zagrożeń dla Ochrona usługi Office 365 w usłudze Microsoft Defender

Dotyczy:

  • Microsoft Defender XDR

Chcesz rozpocząć wyszukiwanie zagrożeń e-mail przy użyciu zaawansowanego wyszukiwania zagrożeń? Spróbuj wykonać następujące kroki:

W przewodniku wdrażania Ochrona usługi Office 365 w usłudze Microsoft Defender wyjaśniono, jak przejść w prawo i rozpocząć konfigurację w dniu 1.

W zależności od wstępnie ustawionych zasad zabezpieczeń a niestandardowych opcji zasad ustawienia automatycznego przeczyszczania (ZAP) zerowym godziną są ważne, aby wiedzieć, czy złośliwa wiadomość została usunięta ze skrzynki pocztowej po dostarczeniu.

Szybkie przechodzenie do języka zapytań Kusto w celu wyszukiwania problemów jest zaletą zbieżności tych dwóch centrów zabezpieczeń. Zespoły ds. zabezpieczeń mogą monitorować chybienia zap, wykonując kolejne kroki w portalu Microsoft Defender w temacie https://security.microsoft.com>Wyszukiwanie zagrożeń>zaawansowanych zagrożeń.

  1. Na stronie Zaawansowane wyszukiwanie zagrożeń pod adresem https://security.microsoft.com/v2/advanced-huntingsprawdź, czy wybrano kartę Nowe zapytanie .

  2. Skopiuj następujące zapytanie do pola Zapytanie :

    EmailPostDeliveryEvents 
    | where Timestamp > ago(7d)
    //List malicious emails that were not zapped successfully
    | where ActionType has "ZAP" and ActionResult == "Error"
    | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
    //Get logon activity of recipients using RecipientEmailAddress and AccountUpn
    | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
    | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
    //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
    | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
    LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
    
  3. Wybierz pozycję Uruchom zapytanie.

Strona Zaawansowane wyszukiwanie zagrożeń (w obszarze Wyszukiwanie zagrożeń) z wybraną pozycją Zapytanie w górnej części panelu zapytań i uruchomieniem zapytania Kusto w celu przechwycenia akcji ZAP w ciągu ostatnich siedmiu dni.

Dane z tego zapytania są wyświetlane w panelu Wyniki poniżej samego zapytania. Wyniki obejmują informacje, takie jak DeviceName, AccountDisplayNamei ZapTime w dostosowywalnym zestawie wyników. Wyniki można również eksportować dla rekordów. Aby zapisać zapytanie do ponownego użycia, wybierz pozycję Zapisz>jako , aby dodać zapytanie do listy zapytań, zapytań udostępnionych lub zapytań społeczności.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.