Udostępnij za pośrednictwem


Tworzenie zapytań dotyczących wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem w Microsoft Defender XDR

Dotyczy:

  • Microsoft Defender XDR

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Konstruktor zapytań w trybie z przewodnikiem umożliwia analitykom tworzenie znaczących zapytań wyszukiwania zagrożeń bez znajomości język zapytań Kusto (KQL) lub schematu danych. Analitycy z każdej warstwy środowiska mogą używać konstruktora zapytań do filtrowania danych z ostatnich 30 dni w celu wyszukiwania zagrożeń, rozszerzania badań zdarzeń, przeprowadzania analizy danych na podstawie danych o zagrożeniach lub skoncentrowania się na określonych obszarach zagrożeń.

Analityk może wybrać zestaw danych do przyjrzenia się oraz filtry i warunki, których należy użyć, aby zawęzić dane do potrzebnych danych.

Możesz watch tego wideo, aby uzyskać omówienie wyszukiwania zagrożeń z przewodnikiem:

Otwieranie zapytania w konstruktorze

Na stronie Zaawansowane wyszukiwanie zagrożeń wybierz pozycję Twórca nowej, aby otworzyć nową kartę zapytania, a następnie wybierz pozycję Zapytanie w konstruktorze.

Zrzut ekranu przedstawiający konstruktora zapytań trybu z przewodnikiem

Spowoduje to przełączenie do trybu z przewodnikiem, w którym można utworzyć zapytanie, wybierając różne składniki przy użyciu menu rozwijanych.

Określanie domeny danych do wyszukania

Zakres wyszukiwania można kontrolować, wybierając domenę, którą obejmuje zapytanie:

Zrzut ekranu przedstawiający listę rozwijaną domen konstruktora zapytań trybu z przewodnikiem

Wybranie pozycji Wszystkie obejmuje dane ze wszystkich domen, do których masz obecnie dostęp. Zawężenie do określonej domeny umożliwia filtrowanie istotne tylko dla tej domeny.

Możesz wybrać jedną z następujących opcji:

  • Wszystkie domeny — aby przeglądać wszystkie dostępne dane w zapytaniu
  • Punkty końcowe — przeglądanie danych punktu końcowego zgodnie z Ochrona punktu końcowego w usłudze Microsoft Defender
  • Aplikacje i tożsamości — aby przeglądać dane aplikacji i tożsamości udostępniane przez Microsoft Defender for Cloud Apps i Microsoft Defender for Identity; użytkownicy zaznajomieni z dziennikiem aktywności mogą znaleźć te same dane tutaj
  • Email i współpracy — aby przeglądać dane aplikacji poczty e-mail i współpracy, takie jak SharePoint, OneDrive i inne; użytkownicy zaznajomieni z Eksploratorem zagrożeń mogą znaleźć te same dane tutaj

Używanie filtrów podstawowych

Domyślnie wyszukiwanie zagrożeń z przewodnikiem zawiera kilka podstawowych filtrów, które umożliwiają szybkie rozpoczęcie pracy.

Zrzut ekranu przedstawiający podstawowy zestaw filtrów konstruktora zapytań trybu z przewodnikiem

Po wybraniu jednego źródła danych, na przykład punktów końcowych, konstruktor zapytań wyświetla tylko odpowiednie grupy filtrów. Następnie możesz wybrać filtr, który chcesz zawęzić, wybierając tę grupę filtrów, na przykład EventType, i wybierając wybrany filtr.

Zrzut ekranu przedstawiający podstawowy zestaw filtrów punktu końcowego konstruktora zapytań trybu z przewodnikiem

Gdy zapytanie będzie gotowe, wybierz niebieski przycisk Uruchom zapytanie . Jeśli przycisk jest wyszarzone, oznacza to, że zapytanie musi być wypełnione lub edytowane dalej.

Uwaga

Podstawowy widok filtru używa tylko operatora AND , co oznacza, że uruchomienie zapytania generuje wyniki, dla których wszystkie ustawione filtry są prawdziwe.

Ładowanie przykładowych zapytań

Innym szybkim sposobem zapoznania się z wyszukiwaniem zagrożeń z przewodnikiem jest załadowanie przykładowych zapytań przy użyciu menu rozwijanego Załaduj przykładowe zapytania . Zrzut ekranu przedstawiający ładowanie przykładowej listy zapytań konstruktora zapytań trybu z przewodnikiem

Uwaga

Wybranie przykładowego zapytania zastępuje istniejące zapytanie.

Po załadowaniu przykładowego zapytania wybierz pozycję Uruchom zapytanie.

Zrzut ekranu przedstawiający załadowane zapytanie konstruktora zapytań trybu z przewodnikiem

Jeśli wcześniej wybrano domenę, lista dostępnych przykładowych zapytań zmienia się odpowiednio.

Zrzut ekranu przedstawiający listę z ograniczeniami konstruktora zapytań trybu z przewodnikiem

Aby przywrócić pełną listę przykładowych zapytań, wybierz pozycję Wszystkie domeny , a następnie ponownie otwórz pozycję Załaduj przykładowe zapytania.

Jeśli załadowane przykładowe zapytanie używa filtrów spoza podstawowego zestawu filtrów, przycisk przełącznika jest wyszarzony. Aby wrócić do podstawowego zestawu filtrów, wybierz pozycję Wyczyść wszystko , a następnie przełącz wszystkie filtry.

Używanie większej liczby filtrów

Aby wyświetlić więcej grup filtrów i warunków, wybierz pozycję Przełącz, aby wyświetlić więcej filtrów i warunków.

Zrzut ekranu przedstawiający przełączanie konstruktora zapytań trybu z przewodnikiem

Gdy przełącznik Wszystkie filtry jest aktywny, możesz teraz użyć pełnego zakresu filtrów i warunków w trybie z przewodnikiem.

Zrzut ekranu przedstawiający konstruktora wszystkich aktywnych filtrów w trybie z przewodnikiem

warunki Twórca

Aby określić zestaw danych do użycia w zapytaniu, wybierz pozycję Wybierz filtr. Zapoznaj się z różnymi sekcjami filtrów, aby dowiedzieć się, co jest dostępne dla Ciebie.

Zrzut ekranu przedstawiający różne filtry, których można użyć

Wpisz tytuły sekcji w polu wyszukiwania w górnej części listy, aby znaleźć filtr. Sekcje kończące się informacjami zawierają filtry, które zawierają informacje o różnych składnikach, które można przeglądać, i filtrują stany jednostek. Sekcje kończące się zdarzeniami zawierają filtry, które umożliwiają wyszukiwanie dowolnego monitorowanego zdarzenia w jednostce. Na przykład, aby wyszukiwać działania dotyczące niektórych urządzeń, możesz użyć filtrów w sekcji Zdarzenia urządzenia .

Uwaga

Wybranie filtru, który nie znajduje się na liście filtrów podstawowych, powoduje dezaktywowanie lub wyszarzone przełączanie w celu powrotu do widoku filtrów podstawowych. Aby zresetować zapytanie lub usunąć istniejące filtry w bieżącym zapytaniu, wybierz pozycję Wyczyść wszystko. Spowoduje to również ponowne uaktywnienie listy podstawowych filtrów.

Następnie ustaw odpowiedni warunek, aby dalej filtrować dane, wybierając je z drugiego menu rozwijanego i podając wpisy z trzeciego menu rozwijanego, jeśli to konieczne:

Zrzut ekranu przedstawiający różne warunki, których można użyć

Więcej warunków można dodać do zapytania przy użyciu warunków AND i OR . Funkcja AND zwraca wyniki spełniające wszystkie warunki w zapytaniu, podczas gdy funkcja OR zwraca wyniki spełniające dowolne warunki w zapytaniu.

Zrzut ekranu przedstawiający operatory AND OR

Uściślanie zapytania umożliwia automatyczne przesiewanie obszernych rekordów w celu wygenerowania listy wyników, które są już ukierunkowane na określone potrzeby wyszukiwania zagrożeń.

Aby dowiedzieć się, jakie typy danych są obsługiwane i jakie są inne możliwości trybu z przewodnikiem ułatwiające dostrojenie zapytania, przeczytaj artykuł Uściślaj zapytanie w trybie z przewodnikiem.

Wypróbuj przykładowe przewodniki dotyczące zapytań

Innym sposobem zapoznania się z wyszukiwaniem z przewodnikiem jest załadowanie wstępnie utworzonych przykładowych zapytań w trybie z przewodnikiem.

W sekcji Wprowadzenie na stronie wyszukiwania zagrożeń udostępniliśmy trzy przykłady zapytań z przewodnikiem, które można załadować. Przykłady zapytań zawierają niektóre z najczęściej używanych filtrów i danych wejściowych, których zwykle potrzebujesz podczas wyszukiwania zagrożeń. Ładowanie dowolnego z trzech przykładowych zapytań powoduje otwarcie przewodnika po sposobie konstruowania wpisu przy użyciu trybu z przewodnikiem.

Zrzut ekranu przedstawiający przewodnik konstruktora zapytań w trybie z przewodnikiem — przewodniki po zapytaniach

Postępuj zgodnie z instrukcjami w niebieskich bąbelkach nauczania, aby utworzyć zapytanie. Wybierz pozycję Uruchom zapytanie.

Wypróbuj kilka zapytań

Wyszukiwanie pomyślnych połączeń z określonym adresem IP

Aby wyszukać pomyślną komunikację sieciową z określonym adresem IP, zacznij wpisywać ciąg "ip", aby uzyskać sugerowane filtry:

Zrzut ekranu przedstawiający wyszukiwanie przez konstruktora zapytań trybu z przewodnikiem pomyślnego nawiązywania połączeń z określonym filtrem pierwszego adresu IP

Aby wyszukać zdarzenia dotyczące określonego adresu IP, w którym adres IP jest miejscem docelowym komunikacji, wybierz pozycję DestinationIPAddress w sekcji Zdarzenia adresów IP. Następnie wybierz operator równości . Wpisz adres IP w trzecim menu listy rozwijanej i naciśnij klawisz Enter:

Zrzut ekranu przedstawiający wyszukiwanie pomyślnych połączeń z określonym adresem IP przez konstruktora zapytań trybu z przewodnikiem

Następnie, aby dodać drugi warunek, który wyszukuje pomyślne zdarzenia komunikacji sieciowej, wyszukaj filtr określonego typu zdarzenia:

Zrzut ekranu przedstawiający wyszukiwanie przez konstruktora zapytań trybu z przewodnikiem pomyślnych połączeń z określonym adresem IP, drugim warunkiem

Filtr EventType wyszukuje różne zarejestrowane typy zdarzeń. Jest to odpowiednik kolumny ActionType , która istnieje w większości tabel w zaawansowanym polowaniu. Wybierz go, aby wybrać jeden lub więcej typów zdarzeń do filtrowania. Aby wyszukać pomyślne zdarzenia komunikacji sieciowej, rozwiń sekcję DeviceNetworkEvents , a następnie wybierz pozycję ConnectionSuccess:

Zrzut ekranu przedstawiający wyszukiwanie przez konstruktora zapytań trybu z przewodnikiem pomyślnych połączeń z określonym trzecim warunkiem adresu IP

Na koniec wybierz pozycję Uruchom zapytanie , aby wyszukać wszystkie pomyślne połączenia sieciowe z adresem IP 52.168.117.170:

Zrzut ekranu przedstawiający wyszukiwanie pomyślnych połączeń z konkretnym widokiem wyników ip przez konstruktora zapytań trybu z przewodnikiem

Polowanie na wiadomości e-mail z dużą pewnością lub wiadomości spamowe dostarczane do skrzynki odbiorczej

Aby wyszukać wszystkie wiadomości e-mail z wysokim poziomem ufności i spamu, które zostały dostarczone do folderu skrzynki odbiorczej w momencie dostarczenia, najpierw wybierz pozycję ConfidenceLevel w obszarze Email Zdarzenia, wybierz pozycję Równa się i wybierz pozycję Wysoki w obszarze Phish i Spam z sugerowanej zamkniętej listy, która obsługuje wybór wielokrotny:

Zrzut ekranu przedstawiający konstruktora zapytań trybu z przewodnikiem, który umożliwia wyszukiwanie wiadomości e-mail z wysokim poziomem zaufania lub wiadomości e-mail z wiadomościami spamu dostarczonymi do skrzynki odbiorczej, pierwszy warunek

Następnie dodaj inny warunek, tym razem określając folder lub DeliveryLocation, Skrzynka odbiorcza/folder.

Zrzut ekranu przedstawiający konstruktora zapytań trybu z przewodnikiem, który umożliwia wyszukiwanie wiadomości e-mail z dużą pewnością lub wiadomości e-mail z wiadomościami spamu dostarczonymi do skrzynki odbiorczej, drugi warunek

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.