Refinar sua consulta no modo guiado

Aplica-se a:

• Microsoft Defender XDR

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Usar tipos de dados diferentes

A busca avançada no modo guiado dá suporte a vários tipos de dados que você pode usar para ajustar sua consulta.

• Números
  

• Cadeias de caracteres
  

  Na caixa de texto gratuita, digite o valor e pressione Enter para adicioná-lo. Observe que o delimitador entre valores é Enter.
  

  

• Booliano
  

• Datetime
  

• Lista fechada – Você não precisa se lembrar do valor exato que está procurando. Você pode escolher facilmente em uma lista fechada sugerida que dá suporte a várias seleções.
  

Usar subgrupos

Você pode criar grupos de condições clicando em Adicionar subgrupo:

Usar o preenchimento automático inteligente para pesquisa

Há suporte para a conclusão automática inteligente para pesquisar dispositivos e contas de usuário. Você não precisa lembrar a ID do dispositivo, o nome do dispositivo completo ou o nome da conta de usuário. Você pode começar a digitar os primeiros caracteres do dispositivo ou usuário que está procurando e uma lista sugerida é exibida da qual você pode escolher o que precisa:

UseEventType

Você pode até mesmo procurar tipos de evento específicos, como todos os logons com falha, eventos de modificação de arquivo ou conexões de rede bem-sucedidas usando o filtro EventType em qualquer seção em que ele é aplicável.

Por exemplo, se você quiser adicionar uma condição que procure exclusões de valor do registro, acesse a seção Eventos do Registro e selecione EventType.

Selecionar EventType em Eventos de Registro permite que você escolha entre diferentes eventos de registro, incluindo o que você está procurando, RegistryValueDeleted.

Observação

EventType é o equivalente ao no esquema de ActionType dados, com o qual os usuários do modo avançado podem estar mais familiarizados.

Testar sua consulta com um tamanho de exemplo menor

Se você ainda estiver trabalhando em sua consulta e quiser ver seu desempenho e alguns resultados de exemplo rapidamente, ajuste o número de registros a serem retornados escolhendo um conjunto menor por meio do menu suspenso Tamanho de exemplo .

O tamanho da amostra é definido como 10.000 resultados por padrão. Esse é o número máximo de registros que podem ser retornados na caça. No entanto, é altamente recomendável reduzir o tamanho da amostra para 10 ou 100 para testar rapidamente sua consulta, pois isso consome menos recursos enquanto você ainda está trabalhando para melhorar a consulta.

Em seguida, depois de finalizar sua consulta e estiver pronto para usá-la para obter todos os resultados relevantes para sua atividade de caça, verifique se o tamanho da amostra está definido como 10k, o máximo.

Alternar para o modo avançado depois de criar uma consulta

Você pode clicar em Editar no KQL para exibir a consulta KQL gerada por suas condições selecionadas. A edição no KQL abre uma nova guia no modo avançado, com a consulta KQL correspondente:

No exemplo acima, a exibição selecionada é Todos, portanto, você pode ver que a consulta KQL pesquisa todas as tabelas que têm propriedades de arquivo de nome e SHA256 e em todas as colunas relevantes que abrangem essas propriedades.

Se você alterar a exibição para Emails & colaboração, a consulta será reduzida para:

Confira também

• Cotas de caça avançadas e parâmetros de uso
• Estender a cobertura avançada de caça com as configurações certas

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.