Obter treinamento especializado em caça avançada
Aplica-se a:
- Microsoft Defender XDR
Aumente seu conhecimento sobre a caça avançada rapidamente com o rastreamento do adversário, uma série de webcast para novos analistas de segurança e caçadores de ameaças experientes. A série orienta você no básico até a criação de suas próprias consultas sofisticadas. Comece com o primeiro vídeo em fundamentos ou pule para vídeos mais avançados que se adaptem ao seu nível de experiência.
Cargo | Descrição | Assistir | Consultas |
---|---|---|---|
Episódio 1: conceitos básicos do KQL | Este episódio aborda os conceitos básicos da caça avançada em Microsoft Defender XDR. Saiba mais sobre os dados de caça avançados disponíveis e a sintaxe básica do KQL e operadores. | YouTube (54:14) | Arquivo de texto |
Episódio 2: Junções | Continue aprendendo sobre dados na caça avançada e como unir tabelas. Saiba mais sobre inner , outer , unique e semi ingressa e entenda as nuances da junção padrão do Kusto innerunique . |
YouTube (53:33) | Arquivo de texto |
Episódio 3: Resumindo, pivotando e visualizando dados | Agora que você aprendeu a filtrar, manipular e unir dados, é hora de resumir, quantificar, girar e visualizar. Este episódio discute o summarize operador e vários cálculos, ao mesmo tempo em que apresenta tabelas adicionais no esquema. Você também aprenderá a transformar conjuntos de dados em gráficos que podem ajudá-lo a extrair insights. |
YouTube (48:52) | Arquivo de texto |
Episódio 4: Vamos caçar! Aplicando KQL ao controle de incidentes | Neste episódio, você aprenderá a acompanhar algumas atividades do invasor. Usamos nossa melhor compreensão de Kusto e caça avançada para rastrear um ataque. Aprenda truques reais usados no campo, incluindo os ABCs de segurança cibernética e como aplicá-los à resposta a incidentes. | YouTube (59:36) | Arquivo de texto |
Obtenha mais treinamento de especialistas com L33TSP3AK: caça avançada em Microsoft Defender XDR, uma série de webcast para analistas que buscam expandir seus conhecimentos técnicos e habilidades práticas na condução de investigações de segurança usando a caça avançada em Microsoft Defender XDR.
Cargo | Descrição | Assistir | Consultas |
---|---|---|---|
Episódio 1 | Neste episódio, você aprenderá diferentes práticas recomendadas na execução de consultas avançadas de caça. Entre os tópicos abordados estão: como otimizar suas consultas, usar a busca avançada por ransomware, manipular o JSON como um tipo dinâmico e trabalhar com operadores de dados externos. | YouTube (56:34) | Arquivo de texto |
Episódio 2 | Neste episódio, você aprenderá a investigar e responder a locais suspeitos ou incomuns de logon e exfiltração de dados por meio de regras de encaminhamento de caixa de entrada. Sebastien Molendijk, Gerente Sênior de Programas para Cloud Security CxE, compartilha como usar a caça avançada para investigar incidentes em vários estágios com Microsoft Defender para Aplicativos de Nuvem dados. | YouTube (57:07) | Arquivo de texto |
Episódio 3 | Neste episódio, abordaremos as melhorias mais recentes para a caça avançada, como importar uma fonte de dados externa para sua consulta e como usar partições para segmentar grandes resultados de consulta em conjuntos de resultados menores para evitar atingir limites de API. | YouTube (40:59) | Arquivo de texto |
Como usar o arquivo CSL
Antes de iniciar um episódio, acesse o arquivo de texto correspondente no GitHub e copie seu conteúdo para o editor de consulta de caça avançado. À medida que você watch um episódio, você pode usar o conteúdo copiado para seguir o alto-falante e executar consultas.
O trecho a seguir de um arquivo de texto que contém as consultas mostra um conjunto abrangente de diretrizes marcadas como comentários com //
.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
O mesmo arquivo de texto inclui consultas antes e depois dos comentários, conforme mostrado abaixo. Para executar uma consulta específica com várias consultas no editor, mova o cursor para essa consulta e selecione Executar consulta.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Outros recursos
Cargo | Descrição | Assistir |
---|---|---|
Tabelas de junção no KQL | Saiba o poder de unir tabelas na criação de resultados significativos. | YouTube (4:17) |
Otimizando tabelas no KQL | Saiba como evitar tempo limite ao executar consultas complexas otimizando suas consultas. | YouTube (5:38) |
Tópicos relacionados
- Visão geral da busca avançada
- Conhecer a linguagem de consulta de busca avançada
- Trabalhar com os resultados da consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.