Trabalhar com resultados avançados da consulta de investigação
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Embora possa construir as suas consultas de investigação avançadas para devolver informações precisas, também pode trabalhar com os resultados da consulta para obter mais informações e investigar atividades e indicadores específicos. Pode efetuar as seguintes ações nos resultados da consulta:
- Ver resultados como uma tabela ou gráfico
- Exportar tabelas e gráficos
- Desagregar para informações detalhadas da entidade
- Ajustar as consultas diretamente a partir dos resultados
Ver os resultados da consulta como uma tabela ou gráfico
Por predefinição, a investigação avançada apresenta os resultados da consulta como dados tabulares. Também pode apresentar os mesmos dados que um gráfico. A investigação avançada suporta as seguintes vistas:
Tipo de vista | Descrição |
---|---|
Tabela | Apresenta os resultados da consulta em formato tabular |
Gráfico de colunas | Compõe uma série de itens exclusivos no eixo x como barras verticais cujas alturas representam valores numéricos de outro campo |
Gráfico circular | Compõe circulares seccionais que representam itens exclusivos. O tamanho de cada circular representa valores numéricos de outro campo. |
Gráfico de linhas | Desenha valores numéricos para uma série de itens exclusivos e liga os valores desenhados |
Gráfico de dispersão | Desenha valores numéricos para uma série de itens exclusivos |
Gráfico de área | Desenha valores numéricos para uma série de itens exclusivos e preenche as secções abaixo dos valores desenhados |
Gráfico de áreas empilhadas | Desenha valores numéricos para uma série de itens exclusivos e empilha as secções preenchidas abaixo dos valores representados |
Gráfico de tempo | Desenha valores por contagem numa escala temporal linear |
Construir consultas para gráficos eficazes
Ao compor gráficos, a investigação avançada identifica automaticamente colunas de interesse e os valores numéricos a agregar. Para obter gráficos significativos, construa as suas consultas para devolver os valores específicos que pretende ver visualizados. Seguem-se algumas consultas de exemplo e os gráficos resultantes.
Alertas por gravidade
Utilize o summarize
operador para obter uma contagem numérica dos valores que pretende criar. A consulta abaixo utiliza o summarize
operador para obter o número de alertas por gravidade.
AlertInfo
| summarize Total = count() by Severity
Ao compor os resultados, um gráfico de colunas apresenta cada valor de gravidade como uma coluna separada:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
E-mails de phishing entre os dez principais domínios do remetente
Se estiver a lidar com uma lista de valores que não são finitos, pode utilizar o Top
operador para traçar apenas os valores com mais instâncias. Por exemplo, para obter os 10 principais domínios do remetente com mais e-mails de phishing, utilize a consulta abaixo:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Utilize a vista de gráfico circular para mostrar efetivamente a distribuição nos domínios superiores:
Atividades de ficheiros ao longo do tempo
Ao utilizar o summarize
operador com a bin()
função , pode verificar se existem eventos que envolvam um indicador específico ao longo do tempo. A consulta abaixo conta os eventos que envolvem o ficheiro invoice.doc
em intervalos de 30 minutos para mostrar picos de atividade relacionados com esse ficheiro:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
O gráfico de linhas abaixo realça claramente os períodos de tempo com mais atividade a invoice.doc
envolver :
Exportar tabelas e gráficos
Depois de executar uma consulta, selecione Exportar para guardar os resultados no ficheiro local. A vista escolhida determina a forma como os resultados são exportados:
- Vista de tabela — Os resultados da consulta são exportados em formato tabular como um livro do Microsoft Excel
- Qualquer gráfico — Os resultados da consulta são exportados como uma imagem JPEG do gráfico composto
Filtrar resultados
Depois de executar uma consulta, selecione Filtrar para restringir os resultados.
Para adicionar um filtro, selecione os dados que pretende filtrar ao selecionar uma ou mais das caixas de verificação. Em seguida, selecione Adicionar.
Pode reduzir ainda mais os resultados a dados específicos ao selecionar o filtro adicionado recentemente.
Esta ação abre uma lista pendente que mostra os filtros possíveis que pode utilizar mais. Selecione uma ou mais das caixas de verificação e, em seguida, selecione Aplicar.
Confirme que adicionou os filtros que queria ao verificar a secção Filtros.
Desagregar a partir dos resultados da consulta
Também pode explorar os resultados em linha com as seguintes funcionalidades:
- Expanda um resultado ao selecionar a seta pendente à esquerda de cada resultado
- Quando aplicável, expanda os detalhes dos resultados que estão em formatos JSON e de matriz ao selecionar a seta pendente à esquerda dos nomes de coluna aplicáveis para maior legibilidade
- Abra o painel lateral para ver os detalhes de um registo (em simultâneo com linhas expandidas)
Também pode clicar com o botão direito do rato em qualquer valor de resultado numa linha para que possa utilizá-lo para adicionar mais filtros à consulta existente ou copiar o valor para utilização numa investigação mais aprofundada.
Além disso, para campos JSON e matriz, pode clicar com o botão direito do rato e atualizar a consulta existente para incluir ou excluir o campo ou expandir o campo para uma nova coluna.
Para inspecionar rapidamente um registo nos resultados da consulta, selecione a linha correspondente para abrir o painel Inspecionar registo . O painel fornece as seguintes informações com base no registo selecionado:
- Recursos — vista resumida dos principais recursos (caixas de correio, dispositivos e utilizadores) encontrados no registo, enriquecidos com informações disponíveis, tais como níveis de risco e exposição
- Todos os detalhes — Todos os valores das colunas no registo
Para ver mais informações sobre uma entidade específica nos resultados da consulta, como um computador, ficheiro, utilizador, endereço IP ou URL, selecione o identificador de entidade para abrir uma página de perfil detalhada para essa entidade.
Ajustar as consultas a partir dos resultados
Selecione os três pontos à direita de qualquer coluna no painel Inspecionar registo . Pode utilizar as opções para:
- Procure explicitamente o valor selecionado (
==
) - Excluir o valor selecionado da consulta (
!=
) - Obtenha operadores mais avançados para adicionar o valor à sua consulta, como
contains
,starts with
eends with
Nota
Algumas tabelas neste artigo poderão não estar disponíveis no Microsoft Defender para Endpoint. Ative o Microsoft Defender XDR para procurar ameaças com mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados do Microsoft Defender para Endpoint para o Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas do Microsoft Defender para Endpoint.
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
- Descrição geral das deteções personalizadas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.