Zaawansowany przykład wyszukiwania zagrożeń dla Ochrona usługi Office 365 w usłudze Microsoft Defender
Dotyczy:
- Microsoft Defender XDR
Chcesz rozpocząć wyszukiwanie zagrożeń e-mail przy użyciu zaawansowanego wyszukiwania zagrożeń? Spróbuj wykonać następujące kroki:
W przewodniku wdrażania Ochrona usługi Office 365 w usłudze Microsoft Defender wyjaśniono, jak przejść w prawo i rozpocząć konfigurację w dniu 1.
W zależności od wstępnie ustawionych zasad zabezpieczeń a niestandardowych opcji zasad ustawienia automatycznego przeczyszczania (ZAP) zerowym godziną są ważne, aby wiedzieć, czy złośliwa wiadomość została usunięta ze skrzynki pocztowej po dostarczeniu.
Szybkie przechodzenie do języka zapytań Kusto w celu wyszukiwania problemów jest zaletą zbieżności tych dwóch centrów zabezpieczeń. Zespoły ds. zabezpieczeń mogą monitorować chybienia zap, wykonując kolejne kroki w portalu Microsoft Defender w temacie https://security.microsoft.com>Wyszukiwanie zagrożeń>zaawansowanych zagrożeń.
Na stronie Zaawansowane wyszukiwanie zagrożeń pod adresem https://security.microsoft.com/v2/advanced-huntingsprawdź, czy wybrano kartę Nowe zapytanie .
Skopiuj następujące zapytanie do pola Zapytanie :
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
Wybierz pozycję Uruchom zapytanie.
Dane z tego zapytania są wyświetlane w panelu Wyniki poniżej samego zapytania. Wyniki obejmują informacje, takie jak DeviceName
, AccountDisplayName
i ZapTime
w dostosowywalnym zestawie wyników. Wyniki można również eksportować dla rekordów. Aby zapisać zapytanie do ponownego użycia, wybierz pozycję Zapisz>jako , aby dodać zapytanie do listy zapytań, zapytań udostępnionych lub zapytań społeczności.
Informacje pokrewne
- Zaawansowane najlepsze rozwiązania dotyczące wyszukiwania zagrożeń
- Omówienie — zaawansowane wyszukiwanie zagrożeń
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.