Partilhar via


Trabalhar com resultados avançados da consulta de investigação

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Embora possa construir as suas consultas de investigação avançadas para devolver informações precisas, também pode trabalhar com os resultados da consulta para obter mais informações e investigar atividades e indicadores específicos. Pode efetuar as seguintes ações nos resultados da consulta:

  • Ver resultados como uma tabela ou gráfico
  • Exportar tabelas e gráficos
  • Desagregar para informações detalhadas da entidade
  • Ajustar as consultas diretamente a partir dos resultados

Ver os resultados da consulta como uma tabela ou gráfico

Por predefinição, a investigação avançada apresenta os resultados da consulta como dados tabulares. Também pode apresentar os mesmos dados que um gráfico. A investigação avançada suporta as seguintes vistas:

Tipo de vista Descrição
Tabela Apresenta os resultados da consulta em formato tabular
Gráfico de colunas Compõe uma série de itens exclusivos no eixo x como barras verticais cujas alturas representam valores numéricos de outro campo
Gráfico circular Compõe circulares seccionais que representam itens exclusivos. O tamanho de cada circular representa valores numéricos de outro campo.
Gráfico de linhas Desenha valores numéricos para uma série de itens exclusivos e liga os valores desenhados
Gráfico de dispersão Desenha valores numéricos para uma série de itens exclusivos
Gráfico de área Desenha valores numéricos para uma série de itens exclusivos e preenche as secções abaixo dos valores desenhados
Gráfico de áreas empilhadas Desenha valores numéricos para uma série de itens exclusivos e empilha as secções preenchidas abaixo dos valores representados
Gráfico de tempo Desenha valores por contagem numa escala temporal linear

Construir consultas para gráficos eficazes

Ao compor gráficos, a investigação avançada identifica automaticamente colunas de interesse e os valores numéricos a agregar. Para obter gráficos significativos, construa as suas consultas para devolver os valores específicos que pretende ver visualizados. Seguem-se algumas consultas de exemplo e os gráficos resultantes.

Alertas por gravidade

Utilize o summarize operador para obter uma contagem numérica dos valores que pretende criar. A consulta abaixo utiliza o summarize operador para obter o número de alertas por gravidade.

AlertInfo
| summarize Total = count() by Severity

Ao compor os resultados, um gráfico de colunas apresenta cada valor de gravidade como uma coluna separada:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Um exemplo de um gráfico que apresenta resultados de investigação avançados no portal do Microsoft Defender

E-mails de phishing entre os dez principais domínios do remetente

Se estiver a lidar com uma lista de valores que não são finitos, pode utilizar o Top operador para traçar apenas os valores com mais instâncias. Por exemplo, para obter os 10 principais domínios do remetente com mais e-mails de phishing, utilize a consulta abaixo:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Utilize a vista de gráfico circular para mostrar efetivamente a distribuição nos domínios superiores:

O gráfico circular que apresenta resultados de investigação avançados no portal do Microsoft Defender

Atividades de ficheiros ao longo do tempo

Ao utilizar o summarize operador com a bin() função , pode verificar se existem eventos que envolvam um indicador específico ao longo do tempo. A consulta abaixo conta os eventos que envolvem o ficheiro invoice.doc em intervalos de 30 minutos para mostrar picos de atividade relacionados com esse ficheiro:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

O gráfico de linhas abaixo realça claramente os períodos de tempo com mais atividade a invoice.docenvolver :

O gráfico de linhas que apresenta resultados de investigação avançados no portal do Microsoft Defender

Exportar tabelas e gráficos

Depois de executar uma consulta, selecione Exportar para guardar os resultados no ficheiro local. A vista escolhida determina a forma como os resultados são exportados:

  • Vista de tabela — Os resultados da consulta são exportados em formato tabular como um livro do Microsoft Excel
  • Qualquer gráfico — Os resultados da consulta são exportados como uma imagem JPEG do gráfico composto

Filtrar resultados

Depois de executar uma consulta, selecione Filtrar para restringir os resultados.

Captura de ecrã a mostrar filtros na investigação avançada.

Para adicionar um filtro, selecione os dados que pretende filtrar ao selecionar uma ou mais das caixas de verificação. Em seguida, selecione Adicionar.

Captura de ecrã a mostrar a lista pendente de filtros na investigação avançada.

Pode reduzir ainda mais os resultados a dados específicos ao selecionar o filtro adicionado recentemente.

Captura de ecrã a mostrar a nova pílula de filtro na investigação avançada.

Esta ação abre uma lista pendente que mostra os filtros possíveis que pode utilizar mais. Selecione uma ou mais das caixas de verificação e, em seguida, selecione Aplicar.

Captura de ecrã a mostrar a lista pendente do novo filtro na investigação avançada.

Confirme que adicionou os filtros que queria ao verificar a secção Filtros.

Captura de ecrã a mostrar os filtros adicionados à investigação avançada.

Desagregar a partir dos resultados da consulta

Também pode explorar os resultados em linha com as seguintes funcionalidades:

  • Expanda um resultado ao selecionar a seta pendente à esquerda de cada resultado
  • Quando aplicável, expanda os detalhes dos resultados que estão em formatos JSON e de matriz ao selecionar a seta pendente à esquerda dos nomes de coluna aplicáveis para maior legibilidade
  • Abra o painel lateral para ver os detalhes de um registo (em simultâneo com linhas expandidas)

Captura de ecrã a mostrar a expansão dos resultados a desagregar

Também pode clicar com o botão direito do rato em qualquer valor de resultado numa linha para que possa utilizá-lo para adicionar mais filtros à consulta existente ou copiar o valor para utilização numa investigação mais aprofundada.

Captura de ecrã das opções ao clicar com o botão direito do rato numa opção

Além disso, para campos JSON e matriz, pode clicar com o botão direito do rato e atualizar a consulta existente para incluir ou excluir o campo ou expandir o campo para uma nova coluna.

Captura de ecrã das opções ao clicar com o botão direito do rato numa opção para campos JSON e matriz

Para inspecionar rapidamente um registo nos resultados da consulta, selecione a linha correspondente para abrir o painel Inspecionar registo . O painel fornece as seguintes informações com base no registo selecionado:

  • Recursos — vista resumida dos principais recursos (caixas de correio, dispositivos e utilizadores) encontrados no registo, enriquecidos com informações disponíveis, tais como níveis de risco e exposição
  • Todos os detalhes — Todos os valores das colunas no registo

O registo selecionado com o painel para inspecionar o registo no portal do Microsoft Defender

Para ver mais informações sobre uma entidade específica nos resultados da consulta, como um computador, ficheiro, utilizador, endereço IP ou URL, selecione o identificador de entidade para abrir uma página de perfil detalhada para essa entidade.

Ajustar as consultas a partir dos resultados

Selecione os três pontos à direita de qualquer coluna no painel Inspecionar registo . Pode utilizar as opções para:

  • Procure explicitamente o valor selecionado (==)
  • Excluir o valor selecionado da consulta (!=)
  • Obtenha operadores mais avançados para adicionar o valor à sua consulta, como contains, starts withe ends with

O painel Tipo de Ação na página Inspecionar registo no portal do Microsoft Defender

Nota

Algumas tabelas neste artigo poderão não estar disponíveis no Microsoft Defender para Endpoint. Ative o Microsoft Defender XDR para procurar ameaças com mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados do Microsoft Defender para Endpoint para o Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas do Microsoft Defender para Endpoint.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.