Refinar sua consulta no modo guiado
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Usar tipos de dados diferentes
A busca avançada no modo guiado dá suporte a vários tipos de dados que você pode usar para ajustar sua consulta.
Números
Cadeias de caracteres
Na caixa de texto gratuita, digite o valor e pressione Enter para adicioná-lo. Observe que o delimitador entre valores é Enter.
Booliano
Datetime
Lista fechada – Você não precisa se lembrar do valor exato que está procurando. Você pode escolher facilmente em uma lista fechada sugerida que dá suporte a várias seleções.
Usar subgrupos
Você pode criar grupos de condições clicando em Adicionar subgrupo:
Usar o preenchimento automático inteligente para pesquisa
Há suporte para a conclusão automática inteligente para pesquisar dispositivos e contas de usuário. Você não precisa lembrar a ID do dispositivo, o nome do dispositivo completo ou o nome da conta de usuário. Você pode começar a digitar os primeiros caracteres do dispositivo ou usuário que está procurando e uma lista sugerida é exibida da qual você pode escolher o que precisa:
UseEventType
Você pode até mesmo procurar tipos de evento específicos, como todos os logons com falha, eventos de modificação de arquivo ou conexões de rede bem-sucedidas usando o filtro EventType em qualquer seção em que ele é aplicável.
Por exemplo, se você quiser adicionar uma condição que procure exclusões de valor do registro, acesse a seção Eventos do Registro e selecione EventType.
Selecionar EventType em Eventos de Registro permite que você escolha entre diferentes eventos de registro, incluindo o que você está procurando, RegistryValueDeleted.
Observação
EventType é o equivalente ao no esquema de ActionType dados, com o qual os usuários do modo avançado podem estar mais familiarizados.
Testar sua consulta com um tamanho de exemplo menor
Se você ainda estiver trabalhando em sua consulta e quiser ver seu desempenho e alguns resultados de exemplo rapidamente, ajuste o número de registros a serem retornados escolhendo um conjunto menor por meio do menu suspenso Tamanho de exemplo .
O tamanho da amostra é definido como 10.000 resultados por padrão. Esse é o número máximo de registros que podem ser retornados na caça. No entanto, é altamente recomendável reduzir o tamanho da amostra para 10 ou 100 para testar rapidamente sua consulta, pois isso consome menos recursos enquanto você ainda está trabalhando para melhorar a consulta.
Em seguida, depois de finalizar sua consulta e estiver pronto para usá-la para obter todos os resultados relevantes para sua atividade de caça, verifique se o tamanho da amostra está definido como 10k, o máximo.
Alternar para o modo avançado depois de criar uma consulta
Você pode clicar em Editar no KQL para exibir a consulta KQL gerada por suas condições selecionadas. A edição no KQL abre uma nova guia no modo avançado, com a consulta KQL correspondente:
No exemplo acima, a exibição selecionada é Todos, portanto, você pode ver que a consulta KQL pesquisa todas as tabelas que têm propriedades de arquivo de nome e SHA256 e em todas as colunas relevantes que abrangem essas propriedades.
Se você alterar a exibição para Emails & colaboração, a consulta será reduzida para:
Confira também
- Cotas de caça avançadas e parâmetros de uso
- Estender a cobertura avançada de caça com as configurações certas
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.