Partilhar via


Exemplo avançado de investigação para Microsoft Defender para Office 365

Aplica-se a:

  • Microsoft Defender XDR

Quer começar a procurar ameaças de e-mail através da investigação avançada? Experimente estes passos:

O guia de implementação do Microsoft Defender para Office 365 explica como avançar e começar a configuração no Dia 1.

Consoante a política de segurança predefinida vs. escolhas de política personalizada, as definições de remoção automática (ZAP) de Hora Zero são importantes para saber se uma mensagem maliciosa foi removida de uma caixa de correio após a entrega.

Navegar rapidamente para a linguagem de consulta Kusto para procurar problemas é uma vantagem de convergir estes dois centros de segurança. As equipas de segurança podem monitorizar as falhas do ZAP ao efetuarem os próximos passos no portal Microsoft Defender em https://security.microsoft.com>Investigação>Avançada de Investigação.

  1. Na página Investigação Avançada emhttps://security.microsoft.com/v2/advanced-hunting, verifique se o separador Nova Consulta está selecionado.

  2. Copie a seguinte consulta para a caixa Consulta :

    EmailPostDeliveryEvents 
    | where Timestamp > ago(7d)
    //List malicious emails that were not zapped successfully
    | where ActionType has "ZAP" and ActionResult == "Error"
    | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
    //Get logon activity of recipients using RecipientEmailAddress and AccountUpn
    | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
    | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
    //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
    | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
    LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
    
  3. Selecione Executar consulta.

A página Investigação avançada (em Investigação) com a Consulta selecionada na parte superior do painel de consulta e a execução de uma consulta Kusto para capturar ações ZAP nos últimos sete dias.

Os dados desta consulta são apresentados no painel Resultados por baixo da própria consulta. Os resultados incluem informações como DeviceName, AccountDisplayNamee ZapTime num conjunto de resultados personalizável. Os resultados também podem ser exportados para os seus registos. Para guardar a consulta para reutilização, selecione Guardar>Como para adicionar a consulta à sua lista de consultas, consultas partilhadas ou de comunidade.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.