Procurar rapidamente informações de entidades ou eventos com go hunt
Aplica-se a:
- Microsoft Defender XDR
Com a ação go hunt , pode investigar rapidamente eventos e vários tipos de entidade através de poderosas capacidades de investigação avançada baseadas em consultas. Esta ação executa automaticamente uma consulta de investigação avançada para encontrar informações relevantes sobre o evento ou entidade selecionado.
A ação go hunt está disponível em várias secções de Microsoft Defender XDR. Esta ação está disponível para visualização assim que os detalhes do evento ou da entidade forem apresentados. Por exemplo, pode utilizar a opção go hunt nas secções seguintes:
Na página do incidente, pode rever detalhes sobre utilizadores, dispositivos e muitas outras entidades associadas a um incidente. À medida que seleciona uma entidade, obtém informações adicionais e as várias ações que pode realizar nessa entidade. No exemplo abaixo, está selecionada uma caixa de correio, que mostra detalhes sobre a caixa de correio e a opção para procurar mais informações sobre a caixa de correio.
Na página do incidente, também pode aceder a uma lista de entidades no separador Provas . Selecionar uma dessas entidades fornece uma opção para procurar rapidamente informações sobre essa entidade.
Ao ver a linha cronológica de um dispositivo, pode selecionar um evento na linha cronológica para ver informações adicionais sobre esse evento. Assim que um evento estiver selecionado, terá a opção de procurar outros eventos relevantes na investigação avançada.
Selecionar Go hunt ou Hunt para eventos relacionados transmite consultas diferentes, dependendo se selecionou uma entidade ou um evento.
Consulta para obter informações sobre entidades
Pode utilizar o go hunt para consultar informações sobre um utilizador, dispositivo ou qualquer outro tipo de entidade; a consulta verifica todas as tabelas de esquema relevantes para quaisquer eventos que envolvam essa entidade para devolver informações. Para manter os resultados geríveis, a consulta é:
- no âmbito de cerca do mesmo período de tempo que a atividade mais antiga nos últimos 30 dias que envolve a entidade
- associado ao incidente.
Eis um exemplo da consulta go hunt de um dispositivo:
let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100
Tipos de entidade suportados
Pode utilizar a opção go hunt depois de selecionar qualquer um destes tipos de entidade:
- Dispositivos
- clusters de Email
- E-mails
- Ficheiros
- Grupos
- Endereços IP
- Caixas de correio
- Utilizadores
- URLs
Consultar informações sobre eventos
Ao utilizar go hunt para consultar informações sobre um evento de linha cronológica, a consulta verifica todas as tabelas de esquema relevantes para outros eventos por volta da hora do evento selecionado. Por exemplo, a consulta seguinte lista eventos em várias tabelas de esquema que ocorreram por volta do mesmo período de tempo no mesmo dispositivo:
// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance
Ajustar a consulta
Com algum conhecimento da linguagem de consulta, pode ajustar a consulta à sua preferência. Por exemplo, pode ajustar esta linha, que determina o tamanho da janela de tempo:
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
Além de modificar a consulta para obter resultados mais relevantes, também pode:
Nota
Algumas tabelas neste artigo poderão não estar disponíveis no Microsoft Defender para Endpoint. Ative Microsoft Defender XDR para procurar ameaças através de mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados de Microsoft Defender para Endpoint para Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas de Microsoft Defender para Endpoint.
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Trabalhar com resultados de consulta
- Regras de deteção personalizadas
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários