Criar consultas de caça usando o modo guiado no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
O construtor de consultas no modo guiado permite que os analistas criem consultas de caça significativas sem saber Linguagem de Consulta Kusto (KQL) ou o esquema de dados. Analistas de todas as camadas de experiência podem usar o construtor de consultas para filtrar dados dos últimos 30 dias para procurar ameaças, expandir investigações de incidentes, executar análise de dados sobre dados de ameaças ou se concentrar em áreas de ameaça específicas.
O analista pode escolher qual conjunto de dados examinar e quais filtros e condições usar para restringir os dados ao que eles precisam.
Você pode watch este vídeo para obter uma visão geral da caça guiada:
Abrir consulta no construtor
Na página De caça avançada, selecione Create novo para abrir uma nova guia de consulta e selecione Consulta no construtor.
Isso o leva ao modo guiado, onde você pode então construir sua consulta selecionando diferentes componentes usando menus suspensos.
Especificar o domínio de dados a ser caçado em
Você pode controlar o escopo da caçada selecionando qual domínio a consulta abrange:
Selecionar Todos inclui dados de todos os domínios aos quais você tem acesso no momento. Restringir-se a um domínio específico permite filtros relevantes somente para esse domínio.
Você pode escolher:
- Todos os domínios – para analisar todos os dados disponíveis em sua consulta
- Pontos de extremidade – para analisar os dados do ponto de extremidade, conforme fornecido por Microsoft Defender para Ponto de Extremidade
- Aplicativos e identidades – para examinar dados de aplicativo e identidade fornecidos por Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade; usuários familiarizados com o log de atividades podem encontrar os mesmos dados aqui
- Email e colaboração - para examinar dados de aplicativos de email e colaboração, como SharePoint, OneDrive e outros; usuários familiarizados com o Threat Explorer podem encontrar os mesmos dados aqui
Usar filtros básicos
Por padrão, a caça guiada inclui alguns filtros básicos para que você comece rápido.
Quando você escolhe uma fonte de dados, por exemplo, Pontos de Extremidade, o construtor de consultas exibe apenas os grupos de filtros aplicáveis. Em seguida, você pode escolher um filtro que deseja restringir selecionando esse grupo de filtros, por exemplo, EventType e selecionando o filtro de sua escolha.
Depois que a consulta estiver pronta, selecione o botão executar consulta azul. Se o botão estiver esmaecido, significa que a consulta precisa ser preenchida ou editada ainda mais.
Observação
A exibição básica do filtro usa apenas o operador AND , o que significa que executar a consulta gera resultados para os quais todos os filtros de conjunto são verdadeiros.
Carregar consultas de exemplo
Outra maneira rápida de se familiarizar com a caça guiada é carregar consultas de exemplo usando o menu suspenso Carregar consultas de exemplo .
Observação
Selecionar uma consulta de exemplo substitui a consulta existente.
Depois que a consulta de exemplo for carregada, selecione Executar consulta.
Se você tiver selecionado um domínio anteriormente, a lista de consultas de exemplo disponíveis será alterada de acordo.
Para restaurar a lista completa de consultas de exemplo, selecione Todos os domínios e reabra consultas de exemplo de carga.
Se a consulta de exemplo carregada usar filtros fora do conjunto de filtros básico, o botão de alternância será esmaecido. Para voltar ao conjunto de filtros básico, selecione Limpar tudo e alterne Todos os filtros.
Usar mais filtros
Para exibir mais grupos e condições de filtro, selecione Alternar para ver mais filtros e condições.
Quando o alternância Todos os filtros estiver ativo, agora você pode usar o intervalo completo de filtros e condições no modo guiado.
Create condições
Para especificar um conjunto de dados a serem usados na consulta, selecione Selecionar um filtro. Explore as diferentes seções de filtro para encontrar o que está disponível para você.
Digite os títulos da seção na caixa de pesquisa na parte superior da lista para localizar o filtro. As seções que terminam em informações contêm filtros que fornecem informações sobre os diferentes componentes que você pode examinar e filtra os estados das entidades. As seções que terminam em eventos contêm filtros que permitem que você procure qualquer evento monitorado na entidade. Por exemplo, para procurar atividades envolvendo determinados dispositivos, você pode usar os filtros na seção Eventos do dispositivo .
Observação
Escolher um filtro que não esteja na lista de filtros básicos desativa ou acinzentar o alternância para retornar à exibição de filtros básicos. Para redefinir a consulta ou remover filtros existentes na consulta atual, selecione Limpar tudo. Isso também reativa a lista de filtros básicos.
Em seguida, defina a condição apropriada para filtrar ainda mais os dados selecionando-os no segundo menu suspenso e fornecendo entradas no terceiro menu suspenso, se necessário:
Você pode adicionar mais condições à consulta usando as condições AND e OR . E retorna resultados que atendem a todas as condições na consulta, enquanto OR retorna resultados que atendem a qualquer uma das condições na consulta.
Refinar sua consulta permite que você examine automaticamente registros volumosos para gerar uma lista de resultados que já estão direcionados à sua necessidade específica de busca de ameaças.
Para saber quais tipos de dados têm suporte e outros recursos de modo guiado para ajudá-lo a ajustar sua consulta, leia Refinar sua consulta no modo guiado.
Experimentar walk-throughs de consulta de exemplo
Outra maneira de se familiarizar com a caça guiada é carregar consultas de exemplo pré-criadas no modo guiado.
Na seção Introdução da página de caça, fornecemos três exemplos de consulta guiados que você pode carregar. Os exemplos de consulta contêm alguns dos filtros e entradas mais comuns que você normalmente precisaria em sua caça. Carregar qualquer uma das três consultas de exemplo abre uma visita guiada de como você construiria a entrada usando o modo guiado.
Siga as instruções nas bolhas de ensino azuis para construir sua consulta. Selecione Executar consulta.
Experimente algumas consultas
Procurar conexões bem-sucedidas com IP específico
Para procurar comunicações de rede bem-sucedidas em um endereço IP específico, comece a digitar "ip" para obter filtros sugeridos:
Para procurar eventos envolvendo um endereço IP específico em que o IP é o destino da comunicação, selecione DestinationIPAddress
na seção Eventos de Endereço IP. Em seguida, selecione o operador igual . Digite o IP no terceiro menu suspenso e pressione Enter:
Em seguida, para adicionar uma segunda condição que pesquisa eventos de comunicação de rede bem-sucedidos, pesquise o filtro de um tipo de evento específico:
O filtro EventType procura os diferentes tipos de evento registrados. É equivalente à coluna ActionType que existe na maioria das tabelas na caça avançada. Selecione-o para escolher um ou mais tipos de evento para os quais filtrar. Para procurar eventos de comunicação de rede bem-sucedidos, expanda a seção DeviceNetworkEvents e escolha ConnectionSuccess
:
Por fim, selecione Executar consulta para procurar todas as comunicações de rede bem-sucedidas no endereço IP 52.168.117.170:
Procurar emails de phish ou spam de alta confiança entregues na caixa de entrada
Para procurar todos os emails de phish e spam de alta confiança que foram entregues na pasta caixa de entrada no momento da entrega, primeiro selecione ConfidenceLevel em Email Eventos, selecione igual e escolha Alto em Phish e Spam na lista fechada sugerida que dá suporte a várias seleções:
Em seguida, adicione outra condição, desta vez especificando a pasta ou DeliveryLocation, Caixa de Entrada/pasta.
Confira também
- Refinar sua consulta no modo guiado
- Trabalhar com os resultados da consulta no modo guiado
- Compreender o esquema
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.