Partilhar via

Trabalhar com resultados avançados da consulta de investigação

  • Aplica-se a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

Embora possa construir as suas consultas de investigação avançadas para devolver informações precisas, também pode trabalhar com os resultados da consulta para obter mais informações e investigar atividades e indicadores específicos. Pode efetuar as seguintes ações nos resultados da consulta:

Ver os resultados da consulta como uma tabela ou gráfico

Por predefinição, a investigação avançada apresenta os resultados da consulta como dados tabulares. Também pode apresentar os mesmos dados que um gráfico. A investigação avançada suporta as seguintes vistas:

Tipo de vista Descrição
Tabela Apresenta os resultados da consulta em formato tabular
Gráfico de colunas Compõe uma série de itens exclusivos no eixo x como barras verticais cujas alturas representam valores numéricos de outro campo
Gráfico circular Compõe circulares seccionais que representam itens exclusivos. O tamanho de cada circular representa valores numéricos de outro campo.
Gráfico de linhas Desenha valores numéricos para uma série de itens exclusivos e liga os valores desenhados
Gráfico de dispersão Desenha valores numéricos para uma série de itens exclusivos
Gráfico de área Desenha valores numéricos para uma série de itens exclusivos e preenche as secções abaixo dos valores desenhados
Gráfico de áreas empilhadas Desenha valores numéricos para uma série de itens exclusivos e empilha as secções preenchidas abaixo dos valores representados
Gráfico de tempo Desenha valores por contagem numa escala temporal linear

Importante

Microsoft Defender portal apresenta apenas até 100 000 resultados de consulta de investigação avançada. Saiba mais sobre quotas de investigação avançadas e parâmetros de utilização

Construir consultas para gráficos eficazes

Ao compor gráficos, a investigação avançada identifica automaticamente colunas de interesse e os valores numéricos a agregar. Para obter gráficos significativos, construa as suas consultas para devolver os valores específicos que pretende ver visualizados. Seguem-se algumas consultas de exemplo e os gráficos resultantes.

Alertas por gravidade

Utilize o summarize operador para obter uma contagem numérica dos valores que pretende criar. A consulta abaixo utiliza o summarize operador para obter o número de alertas por gravidade.

AlertInfo
| summarize Total = count() by Severity

Ao compor os resultados, um gráfico de colunas apresenta cada valor de gravidade como uma coluna separada:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Um exemplo de um gráfico que apresenta resultados de investigação avançados no portal do Microsoft Defender

E-mails de phishing entre os dez principais domínios do remetente

Se estiver a lidar com uma lista de valores que não são finitos, pode utilizar o Top operador para traçar apenas os valores com mais instâncias. Por exemplo, para obter os 10 principais domínios do remetente com mais e-mails de phishing, utilize a consulta abaixo:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Utilize a vista de gráfico circular para mostrar efetivamente a distribuição nos domínios superiores:

O gráfico circular que apresenta resultados de investigação avançados no portal do Microsoft Defender

Atividades de ficheiros ao longo do tempo

Ao utilizar o summarize operador com a bin() função , pode verificar se existem eventos que envolvam um indicador específico ao longo do tempo. A consulta abaixo conta os eventos que envolvem o ficheiro invoice.doc em intervalos de 30 minutos para mostrar picos de atividade relacionados com esse ficheiro:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

O gráfico de linhas abaixo realça claramente os períodos de tempo com mais atividade a invoice.docenvolver :

O gráfico de linhas que apresenta resultados de investigação avançados no portal do Microsoft Defender

Exportar tabelas e gráficos

Depois de executar uma consulta, selecione Exportar para guardar os resultados no ficheiro local. A vista escolhida determina a forma como os resultados são exportados:

  • Vista de tabela — Os resultados da consulta são exportados em formato tabular como um livro do Microsoft Excel
  • Qualquer gráfico — Os resultados da consulta são exportados como uma imagem JPEG do gráfico composto

Filtrar resultados

Depois de executar uma consulta, selecione Filtrar para restringir os resultados.

Captura de ecrã a mostrar filtros na investigação avançada.

Para adicionar um filtro, selecione os dados que pretende filtrar ao selecionar uma ou mais das caixas de verificação. Em seguida, selecione Adicionar.

Captura de ecrã a mostrar a lista pendente de filtros na investigação avançada.

Pode reduzir ainda mais os resultados a dados específicos ao selecionar o filtro adicionado recentemente.

Captura de ecrã a mostrar a nova pílula de filtro na investigação avançada.

Esta ação abre uma lista pendente que mostra os filtros possíveis que pode utilizar mais. Selecione uma ou mais das caixas de verificação e, em seguida, selecione Aplicar.

Captura de ecrã a mostrar a lista pendente do novo filtro na investigação avançada.

Confirme que adicionou os filtros que queria ao verificar a secção Filtros.

Captura de ecrã a mostrar os filtros adicionados à investigação avançada.

Desagregar a partir dos resultados da consulta

Também pode explorar os resultados em linha com as seguintes funcionalidades:

  • Expanda um resultado ao selecionar a seta pendente à esquerda de cada resultado
  • Quando aplicável, expanda os detalhes dos resultados que estão em formatos JSON e de matriz ao selecionar a seta pendente à esquerda dos nomes de coluna aplicáveis para maior legibilidade
  • Abra o painel lateral para ver os detalhes de um registo (em simultâneo com linhas expandidas)

Captura de ecrã a mostrar a expansão dos resultados a desagregar

Também pode clicar com o botão direito do rato em qualquer valor de resultado numa linha para que possa utilizá-lo para adicionar mais filtros à consulta existente ou copiar o valor para utilização numa investigação mais aprofundada.

Captura de ecrã das opções ao clicar com o botão direito do rato numa opção

Além disso, para campos JSON e matriz, pode clicar com o botão direito do rato e atualizar a consulta existente para incluir ou excluir o campo ou expandir o campo para uma nova coluna.

Captura de ecrã das opções ao clicar com o botão direito do rato numa opção para campos JSON e matriz

Para inspecionar rapidamente um registo nos resultados da consulta, selecione a linha correspondente para abrir o painel Inspecionar registo . O painel fornece as seguintes informações com base no registo selecionado:

  • Recursos — vista resumida dos principais recursos (caixas de correio, dispositivos e utilizadores) encontrados no registo, enriquecidos com informações disponíveis, tais como níveis de risco e exposição
  • Todos os detalhes — Todos os valores das colunas no registo

O registo selecionado com o painel para inspecionar o registo no portal do Microsoft Defender

Para ver mais informações sobre uma entidade específica nos resultados da consulta, como um computador, ficheiro, utilizador, endereço IP ou URL, selecione o identificador de entidade para abrir uma página de perfil detalhada para essa entidade.

Ajustar as consultas a partir dos resultados

Selecione os três pontos à direita de qualquer coluna no painel Inspecionar registo . Pode utilizar as opções para:

  • Procure explicitamente o valor selecionado (==)
  • Excluir o valor selecionado da consulta (!=)
  • Obtenha operadores mais avançados para adicionar o valor à sua consulta, como contains, starts withe ends with

Captura de ecrã do painel Tipo de Ação na página Inspecionar registo no portal do Microsoft Defender.

Adicionar itens aos Favoritos

Pode adicionar os esquemas, funções, consultas e regras de deteção frequentemente utilizados à secção Favoritos de cada separador na página de investigação avançada para acesso rápido.

Captura de ecrã da página de investigação avançada com a secção Favoritos realçada.

Por exemplo, para adicionar AlertInfo aos seus Favoritos, aceda ao separador Esquema e selecione as reticências à direita da tabela e selecione Adicionar aos favoritos.

Captura de ecrã da opção Adicionar aos Favoritos na página de investigação avançada.

É apresentada uma notificação a informá-lo de que o item foi adicionado com êxito aos Favoritos.

Captura de ecrã a mostrar a notificação de que um novo item foi adicionado aos Favoritos na investigação avançada.

Pode fazer o mesmo para as suas funções, consultas e deteções personalizadas guardadas nas respetivas secções Favoritos diretamente em cada separador (Funções, Consultas e Regras de Deteção).

Nota

Algumas tabelas neste artigo poderão não estar disponíveis em Microsoft Defender para Endpoint. Ative Microsoft Defender XDR para procurar ameaças através de mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados de Microsoft Defender para Endpoint para Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas de Microsoft Defender para Endpoint.

Composição automática da linha cronológica

Por predefinição, é apresentada uma linha cronológica acima dos resultados avançados da investigação que apresenta as contagens de eventos ao longo do tempo. A linha cronológica é composta automaticamente com base na Timestamp coluna ou timeGenerated nos resultados da consulta. Atualiza automaticamente quando aplica filtros e pode ajudá-lo a identificar rapidamente tendências e comportamentos anormais e a focar-se em resultados interessantes.

Captura de ecrã da linha cronológica acima da consulta que resulta numa investigação avançada.

Pode selecionar se a linha cronológica é ou não apresentada por predefinição nas definições preferências de Gráfico .

Captura de ecrã a mostrar as definições de Preferências de página na investigação avançada.

A linha cronológica ajusta automaticamente a sua resolução com base no intervalo de resultados.

Filtrar os resultados da linha cronológica

Selecione qualquer ponto na linha cronológica para filtrar os resultados e a linha cronológica para esse intervalo de tempo específico. A linha cronológica também atualiza o respetivo dimensionamento para corresponder ao período de tempo selecionado, pelo que, quando filtra por um intervalo específico, amplia para mostrar a distribuição de eventos em alta resolução.

A captura de ecrã seguinte mostra os resultados de uma consulta que devolve 1000 eventos de e-mail. A linha cronológica não está filtrada, pelo que apresenta o intervalo completo de resultados com um carimbo de data/hora para cada dia. Selecione um dia ou intervalo de dias para filtrar os resultados desse período de tempo.

Captura de ecrã de uma consulta de investigação avançada de 1000 eventos de e-mail com todos os resultados não filtrados.

Dividir a linha cronológica por valores

Pode dividir os resultados na linha cronológica por qualquer coluna que tenha, pelo menos, dois, mas menos de 50 valores exclusivos.

A captura de ecrã seguinte mostra os resultados de uma consulta que devolve 1000 eventos de e-mail. A linha cronológica está desagrupar, pelo que apresenta todos os resultados numa única linha.

Captura de ecrã de uma consulta de investigação avançada de 1000 eventos de e-mail com os resultados todos juntos numa linha.

Alterar tipo de gráfico

Pode alterar o tipo de gráfico da linha cronológica ao selecionar uma opção diferente no menu pendente tipo de gráfico. Os tipos de gráfico disponíveis incluem:

  • Gráfico de linhas
  • Gráfico de colunas
  • Gráfico circular

Captura de ecrã de uma consulta de investigação avançada de 1000 eventos de e-mail com os resultados apresentados num gráfico de colunas.

Condições de composição

A linha cronológica só é apresentada se forem cumpridas as seguintes condições:

  • Existem mais de 40 eventos nos resultados.
  • Existe Timestamp ou timeGenerated coluna.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on