Refinar a sua consulta no modo orientado
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
Utilizar diferentes tipos de dados
A investigação avançada no modo guiado suporta vários tipos de dados que pode utilizar para ajustar a sua consulta.
Números
Cadeias
Na caixa de texto livre, escreva o valor e prima Enter para o adicionar. Tenha em atenção que o delimitador entre valores é Enter.
Booleano
Datetime
Lista fechada – não precisa de se lembrar do valor exato que procura. Pode escolher facilmente a partir de uma lista fechada sugerida que suporte seleção múltipla.
Utilizar subgrupos
Pode criar grupos de condições ao clicar em Adicionar subgrupo:
Utilizar a conclusão automática inteligente para pesquisa
A conclusão automática inteligente para a pesquisa de dispositivos e contas de utilizador é suportada. Não precisa de se lembrar do ID do dispositivo, do nome completo do dispositivo ou do nome da conta de utilizador. Pode começar a escrever os primeiros carateres do dispositivo ou utilizador que procura e é apresentada uma lista sugerida a partir da qual pode escolher o que precisa:
Utilizar o EventType
Pode até procurar tipos de eventos específicos, como todos os inícios de sessão falhados, eventos de modificação de ficheiros ou ligações de rede com êxito através do filtro EventType em qualquer secção onde seja aplicável.
Por exemplo, se quiser adicionar uma condição que procura eliminações de valor de registo, pode aceder à secção Eventos de Registo e selecionar EventType.
Selecionar EventType em Eventos de Registo permite-lhe escolher entre diferentes eventos de registo, incluindo o que procura, RegistryValueDeleted.
Nota
EventType
é o equivalente a no esquema de ActionType
dados, com o qual os utilizadores do modo avançado podem estar mais familiarizados.
Testar a consulta com um tamanho de amostra mais pequeno
Se ainda estiver a trabalhar na consulta e quiser ver rapidamente o desempenho e alguns resultados de exemplo, ajuste o número de registos a devolver ao selecionar um conjunto mais pequeno através do menu pendente Tamanho da amostra.
O tamanho da amostra está definido como 10 000 resultados por predefinição. Este é o número máximo de registos que podem ser devolvidos na investigação. No entanto, recomendamos vivamente que reduza o tamanho da amostra para 10 ou 100 para testar rapidamente a consulta, uma vez que consome menos recursos enquanto ainda está a trabalhar para melhorar a consulta.
Em seguida, assim que finalizar a consulta e estiver pronto para utilizá-la para obter todos os resultados relevantes para a sua atividade de investigação, certifique-se de que o tamanho da amostra está definido como 10 mil, o máximo.
Mudar para o modo avançado depois de criar uma consulta
Pode clicar em Editar no KQL para ver a consulta KQL gerada pelas condições selecionadas. A edição no KQL abre um novo separador no modo avançado, com a consulta KQL correspondente:
No exemplo acima, a vista selecionada é Tudo, pelo que pode ver que a consulta KQL procura em todas as tabelas que têm propriedades de ficheiro de nome e SHA256 e em todas as colunas relevantes que abrangem estas propriedades.
Se alterar a vista para E-mails & colaboração, a consulta será reduzida para:
Consulte também
- Quotas de investigação avançadas e parâmetros de utilização
- Expandir a cobertura de investigação avançada com as definições certas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.