Tworzenie zapytań dotyczących wyszukiwania zagrożeń przy użyciu trybu z przewodnikiem w Microsoft Defender XDR

Uwaga

Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.

Dotyczy:

• Microsoft Defender XDR

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Konstruktor zapytań w trybie z przewodnikiem umożliwia analitykom tworzenie znaczących zapytań wyszukiwania zagrożeń bez znajomości język zapytań Kusto (KQL) lub schematu danych. Analitycy z każdej warstwy środowiska mogą używać konstruktora zapytań do filtrowania danych z ostatnich 30 dni w celu wyszukiwania zagrożeń, rozszerzania badań zdarzeń, przeprowadzania analizy danych na podstawie danych o zagrożeniach lub skoncentrowania się na określonych obszarach zagrożeń.

Analityk może wybrać zestaw danych do przyjrzenia się oraz filtry i warunki, których należy użyć, aby zawęzić dane do potrzebnych danych.

Możesz watch tego wideo, aby uzyskać omówienie wyszukiwania zagrożeń z przewodnikiem:

Otwieranie zapytania w konstruktorze

Na stronie Zaawansowane wyszukiwanie zagrożeń wybierz pozycję Utwórz nową , aby otworzyć nową kartę zapytania, a następnie wybierz pozycję Zapytanie w konstruktorze.

Spowoduje to przełączenie do trybu z przewodnikiem, w którym można utworzyć zapytanie, wybierając różne składniki przy użyciu menu rozwijanych.

Określanie domeny danych do wyszukania

Zakres wyszukiwania można kontrolować, wybierając domenę, którą obejmuje zapytanie:

Wybranie pozycji Wszystkie obejmuje dane ze wszystkich domen, do których masz obecnie dostęp. Zawężenie do określonej domeny umożliwia filtrowanie istotne tylko dla tej domeny.

Możesz wybrać jedną z następujących opcji:

• Wszystkie domeny — aby przeglądać wszystkie dostępne dane w zapytaniu
• Punkty końcowe — przeglądanie danych punktu końcowego zgodnie z Ochrona punktu końcowego w usłudze Microsoft Defender
• Aplikacje i tożsamości — aby przeglądać dane aplikacji i tożsamości udostępniane przez Microsoft Defender for Cloud Apps i Microsoft Defender for Identity; użytkownicy zaznajomieni z dziennikiem aktywności mogą znaleźć te same dane tutaj
• Email i współpracy — aby przeglądać dane aplikacji poczty e-mail i współpracy, takie jak SharePoint, OneDrive i inne; użytkownicy zaznajomieni z Eksploratorem zagrożeń mogą znaleźć te same dane tutaj

Używanie filtrów podstawowych

Domyślnie wyszukiwanie zagrożeń z przewodnikiem zawiera kilka podstawowych filtrów, które umożliwiają szybkie rozpoczęcie pracy.

Po wybraniu jednego źródła danych, na przykład punktów końcowych, konstruktor zapytań wyświetla tylko odpowiednie grupy filtrów. Następnie możesz wybrać filtr, który chcesz zawęzić, wybierając tę grupę filtrów, na przykład EventType, i wybierając wybrany filtr.

Gdy zapytanie będzie gotowe, wybierz niebieski przycisk Uruchom zapytanie . Jeśli przycisk jest wyszarzone, oznacza to, że zapytanie musi być wypełnione lub edytowane dalej.

Uwaga

Podstawowy widok filtru używa tylko operatora AND , co oznacza, że uruchomienie zapytania generuje wyniki, dla których wszystkie ustawione filtry są prawdziwe.

Ładowanie przykładowych zapytań

Innym szybkim sposobem zapoznania się z wyszukiwaniem zagrożeń z przewodnikiem jest załadowanie przykładowych zapytań przy użyciu menu rozwijanego Załaduj przykładowe zapytania .

Uwaga

Wybranie przykładowego zapytania zastępuje istniejące zapytanie.

Po załadowaniu przykładowego zapytania wybierz pozycję Uruchom zapytanie.

Jeśli wcześniej wybrano domenę, lista dostępnych przykładowych zapytań zmienia się odpowiednio.

Aby przywrócić pełną listę przykładowych zapytań, wybierz pozycję Wszystkie domeny , a następnie ponownie otwórz pozycję Załaduj przykładowe zapytania.

Jeśli załadowane przykładowe zapytanie używa filtrów spoza podstawowego zestawu filtrów, przycisk przełącznika jest wyszarzony. Aby wrócić do podstawowego zestawu filtrów, wybierz pozycję Wyczyść wszystko , a następnie przełącz wszystkie filtry.

Używanie większej liczby filtrów

Aby wyświetlić więcej grup filtrów i warunków, wybierz pozycję Przełącz, aby wyświetlić więcej filtrów i warunków.

Gdy przełącznik Wszystkie filtry jest aktywny, możesz teraz użyć pełnego zakresu filtrów i warunków w trybie z przewodnikiem.

Tworzenie warunków

Aby określić zestaw danych do użycia w zapytaniu, wybierz pozycję Wybierz filtr. Zapoznaj się z różnymi sekcjami filtrów, aby dowiedzieć się, co jest dostępne dla Ciebie.

Wpisz tytuły sekcji w polu wyszukiwania w górnej części listy, aby znaleźć filtr. Sekcje kończące się informacjami zawierają filtry, które zawierają informacje o różnych składnikach, które można przeglądać, i filtrują stany jednostek. Sekcje kończące się zdarzeniami zawierają filtry, które umożliwiają wyszukiwanie dowolnego monitorowanego zdarzenia w jednostce. Na przykład, aby wyszukiwać działania dotyczące niektórych urządzeń, możesz użyć filtrów w sekcji Zdarzenia urządzenia .

Uwaga

Wybranie filtru, który nie znajduje się na liście filtrów podstawowych, powoduje dezaktywowanie lub wyszarzone przełączanie w celu powrotu do widoku filtrów podstawowych. Aby zresetować zapytanie lub usunąć istniejące filtry w bieżącym zapytaniu, wybierz pozycję Wyczyść wszystko. Spowoduje to również ponowne uaktywnienie listy podstawowych filtrów.

Następnie ustaw odpowiedni warunek, aby dalej filtrować dane, wybierając je z drugiego menu rozwijanego i podając wpisy z trzeciego menu rozwijanego, jeśli to konieczne:

Więcej warunków można dodać do zapytania przy użyciu warunków AND i OR . Funkcja AND zwraca wyniki spełniające wszystkie warunki w zapytaniu, podczas gdy funkcja OR zwraca wyniki spełniające dowolne warunki w zapytaniu.

Uściślanie zapytania umożliwia automatyczne przesiewanie obszernych rekordów w celu wygenerowania listy wyników, które są już ukierunkowane na określone potrzeby wyszukiwania zagrożeń.

Aby dowiedzieć się, jakie typy danych są obsługiwane i jakie są inne możliwości trybu z przewodnikiem ułatwiające dostrojenie zapytania, przeczytaj artykuł Uściślaj zapytanie w trybie z przewodnikiem.

Wypróbuj przykładowe przewodniki dotyczące zapytań

Innym sposobem zapoznania się z wyszukiwaniem z przewodnikiem jest załadowanie wstępnie utworzonych przykładowych zapytań w trybie z przewodnikiem.

W sekcji Wprowadzenie na stronie wyszukiwania zagrożeń udostępniliśmy trzy przykłady zapytań z przewodnikiem, które można załadować. Przykłady zapytań zawierają niektóre z najczęściej używanych filtrów i danych wejściowych, których zwykle potrzebujesz podczas wyszukiwania zagrożeń. Ładowanie dowolnego z trzech przykładowych zapytań powoduje otwarcie przewodnika po sposobie konstruowania wpisu przy użyciu trybu z przewodnikiem.

Postępuj zgodnie z instrukcjami w niebieskich bąbelkach nauczania, aby utworzyć zapytanie. Wybierz pozycję Uruchom zapytanie.

Wypróbuj kilka zapytań

Wyszukiwanie pomyślnych połączeń z określonym adresem IP

Aby wyszukać pomyślną komunikację sieciową z określonym adresem IP, zacznij wpisywać ciąg "ip", aby uzyskać sugerowane filtry:

Aby wyszukać zdarzenia dotyczące określonego adresu IP, w którym adres IP jest miejscem docelowym komunikacji, wybierz pozycję DestinationIPAddress w sekcji Zdarzenia adresów IP. Następnie wybierz operator równości . Wpisz adres IP w trzecim menu listy rozwijanej i naciśnij klawisz Enter:

Następnie, aby dodać drugi warunek, który wyszukuje pomyślne zdarzenia komunikacji sieciowej, wyszukaj filtr określonego typu zdarzenia:

Filtr EventType wyszukuje różne zarejestrowane typy zdarzeń. Jest to odpowiednik kolumny ActionType , która istnieje w większości tabel w zaawansowanym polowaniu. Wybierz go, aby wybrać jeden lub więcej typów zdarzeń do filtrowania. Aby wyszukać pomyślne zdarzenia komunikacji sieciowej, rozwiń sekcję DeviceNetworkEvents , a następnie wybierz pozycję ConnectionSuccess:

Na koniec wybierz pozycję Uruchom zapytanie , aby wyszukać wszystkie pomyślne połączenia sieciowe z adresem IP 52.168.117.170:

Polowanie na wiadomości e-mail z dużą pewnością lub wiadomości spamowe dostarczane do skrzynki odbiorczej

Aby wyszukać wszystkie wiadomości e-mail z wysokim poziomem ufności i spamu, które zostały dostarczone do folderu skrzynki odbiorczej w momencie dostarczenia, najpierw wybierz pozycję ConfidenceLevel w obszarze Email Zdarzenia, wybierz pozycję Równa się i wybierz pozycję Wysoki w obszarze Phish i Spam z sugerowanej zamkniętej listy, która obsługuje wybór wielokrotny:

Następnie dodaj inny warunek, tym razem określając folder lub DeliveryLocation, Skrzynka odbiorcza/folder.

Zobacz też

• Uściślanie zapytania w trybie z przewodnikiem
• Praca z wynikami zapytania w trybie z przewodnikiem
• Analiza schematu

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.