Compartilhar via

Exemplo avançado de investigação para Microsoft Defender para Office 365

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Deseja começar a procurar ameaças de email usando a busca avançada? Experimente estes passos:

O guia de implementação do Microsoft Defender para Office 365 explica como avançar e começar a configuração no Dia 1.

Consoante a política de segurança predefinida vs. escolhas de política personalizada, as definições de remoção automática (ZAP) de Hora Zero são importantes para saber se uma mensagem maliciosa foi removida de uma caixa de correio após a entrega.

Navegar rapidamente para a linguagem de consulta Kusto para buscar problemas é uma das vantagens de converter esses dois centros de segurança. As equipas de segurança podem monitorizar as falhas do ZAP ao efetuarem os próximos passos no portal Microsoft Defender em https://security.microsoft.com>Investigação>Avançada de Investigação.

  1. Na página Investigação Avançada emhttps://security.microsoft.com/v2/advanced-hunting, verifique se o separador Nova Consulta está selecionado.

  2. Copie a seguinte consulta para a caixa Consulta :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Selecione Executar consulta.

    A página Investigação avançada (em Investigação) com a Consulta selecionada na parte superior do painel de consulta e a execução de uma consulta Kusto para capturar ações ZAP nos últimos sete dias.

    Os dados desta consulta são apresentados no painel Resultados por baixo da própria consulta. Os resultados incluem informações como DeviceName, AccountDisplayNamee ZapTime num conjunto de resultados personalizável. Os resultados também podem ser exportados para os seus registros. Para guardar a consulta para reutilização, selecione Guardar>Como para adicionar a consulta à sua lista de consultas, consultas partilhadas ou de comunidade.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.