Szybkie wyszukiwanie informacji o jednostce lub zdarzeniu za pomocą wyszukiwania go

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Dzięki akcji wyszukiwania na go można szybko badać zdarzenia i różne typy jednostek przy użyciu zaawansowanych możliwości wyszukiwania zapytań. Ta akcja automatycznie uruchamia zaawansowane zapytanie wyszukiwania zagrożeń w celu znalezienia odpowiednich informacji o wybranym zdarzeniu lub jednostce.

Akcja polowania na go jest dostępna w różnych sekcjach Microsoft Defender XDR. Ta akcja jest dostępna do wyświetlenia po wyświetleniu szczegółów zdarzenia lub jednostki. Na przykład możesz użyć opcji wyszukiwania na go z następujących sekcji:

  • Na stronie zdarzenia możesz przejrzeć szczegóły dotyczące użytkowników, urządzeń i wielu innych jednostek skojarzonych ze zdarzeniem. Po wybraniu jednostki uzyskasz dodatkowe informacje i różne akcje, które można wykonać dla tej jednostki. W poniższym przykładzie wybrano skrzynkę pocztową zawierającą szczegółowe informacje o skrzynce pocztowej i opcję wyszukiwania dodatkowych informacji o skrzynce pocztowej.

    Strona Skrzynki pocztowe z opcją wyszukiwania w języku Go w portalu Microsoft Defender

  • Na stronie zdarzenia możesz również uzyskać dostęp do listy jednostek na karcie Dowód . Wybranie jednej z tych jednostek umożliwia szybkie wyszukiwanie informacji o tej jednostce.

    Opcja wyszukiwania w języku Go dla dowodów na stronie Incydent w portalu Microsoft Defender

  • Podczas wyświetlania osi czasu dla urządzenia możesz wybrać zdarzenie na osi czasu, aby wyświetlić dodatkowe informacje o tym zdarzeniu. Po wybraniu zdarzenia otrzymasz opcję wyszukiwania innych istotnych zdarzeń w zaawansowanym wyszukiwaniu zagrożeń.

    Opcja Wyszukaj powiązane zdarzenia na stronie zdarzenia na karcie Osie czasu w portalu Microsoft Defender

Wybranie pozycji Go hunt lub Hunt for related events przekazuje różne zapytania, w zależności od tego, czy wybrano jednostkę, czy zdarzenie.

Zapytanie dotyczące informacji o jednostce

Możesz użyć wyszukiwania na go , aby wysyłać zapytania o informacje o użytkowniku, urządzeniu lub innym typie jednostki; Zapytanie sprawdza wszystkie odpowiednie tabele schematów pod kątem zdarzeń dotyczących tej jednostki w celu zwrócenia informacji. Aby zapewnić zarządzanie wynikami, zapytanie jest następujące:

  • zakres do mniej więcej tego samego okresu co najwcześniejsze działanie w ciągu ostatnich 30 dni, które obejmuje jednostkę
  • skojarzone ze zdarzeniem.

Oto przykład zapytania dotyczącego wyszukiwania na urządzeniach:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Obsługiwane typy jednostek

Po wybraniu dowolnego z tych typów jednostek możesz użyć opcji wyszukiwania na goch:

  • Urządzeń
  • klastry Email
  • Wiadomości e-mail
  • Pliki
  • Grupy
  • Adresy IP
  • Skrzynek pocztowych
  • Użytkownicy
  • Adresy URL

Zapytanie o informacje o zdarzeniu

Podczas wykonywania zapytań o informacje o zdarzeniu osi czasu zapytanie sprawdza wszystkie odpowiednie tabele schematów pod kątem innych zdarzeń w czasie wybranego zdarzenia. Na przykład następujące zapytanie zawiera listę zdarzeń w różnych tabelach schematów, które wystąpiły w tym samym okresie na tym samym urządzeniu:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Dostosowywanie zapytania

Mając pewną wiedzę na temat języka zapytań, możesz dostosować zapytanie do swoich preferencji. Na przykład można dostosować ten wiersz, który określa rozmiar przedziału czasu:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Oprócz modyfikowania zapytania w celu uzyskania bardziej odpowiednich wyników można również:

Uwaga

Niektóre tabele w tym artykule mogą nie być dostępne w Ochrona punktu końcowego w usłudze Microsoft Defender. Włącz Microsoft Defender XDR, aby wyszukiwać zagrożenia przy użyciu większej liczby źródeł danych. Zaawansowane przepływy pracy wyszukiwania zagrożeń można przenieść z Ochrona punktu końcowego w usłudze Microsoft Defender do Microsoft Defender XDR, wykonując kroki opisane w temacie Migrowanie zaawansowanych zapytań wyszukiwania zagrożeń z Ochrona punktu końcowego w usłudze Microsoft Defender.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.