Создание запросов охоты с помощью интерактивного режима в Microsoft Defender XDR

Область применения:

• Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Построитель запросов в интерактивном режиме позволяет аналитикам создавать значимые запросы охоты, не зная язык запросов Kusto (KQL) или схему данных. Аналитики с каждым уровнем опыта могут использовать построитель запросов для фильтрации данных за последние 30 дней, чтобы искать угрозы, расширять исследования инцидентов, выполнять аналитику данных об угрозах или сосредоточиться на конкретных областях угроз.

Аналитик может выбрать набор данных для просмотра, а также фильтры и условия, которые следует использовать, чтобы сузить данные до того, что им нужно.

Вы можете watch это видео, чтобы получить обзор интерактивной охоты:

Открытие запроса в построителе

На странице Расширенная охота выберите Create создать, чтобы открыть новую вкладку запроса, и выберите Запрос в построителе.

Вы перейдете в интерактивный режим, в котором можно создать запрос, выбрав различные компоненты с помощью раскрывающихся меню.

Укажите домен данных для поиска

Вы можете управлять область охоты, выбрав домен, который охватывает запрос:

При выборе параметра Все содержатся данные из всех доменов, к которых у вас есть доступ. Сужение до определенного домена позволяет использовать фильтры, относящиеся только к этому домену.

Можно выбрать одно из следующих значений.

• Все домены — для просмотра всех доступных данных в запросе
• Конечные точки — для просмотра данных конечных точек, предоставляемых Microsoft Defender для конечной точки
• Приложения и удостоверения — для просмотра данных приложений и удостоверений, предоставляемых Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений. Пользователи, знакомые с журналом действий, могут найти те же данные здесь.
• Email и совместная работа. Для просмотра данных электронной почты и приложений для совместной работы, таких как SharePoint, OneDrive и других; пользователи, знакомые с Обозреватель угроз, могут найти те же данные здесь.

Использование базовых фильтров

По умолчанию интерактивная охота включает несколько базовых фильтров, чтобы быстро приступить к работе.

При выборе одного источника данных, например конечных точек, построитель запросов отображает только применимые группы фильтров. Затем вы можете выбрать фильтр, который вы хотите сузить, выбрав эту группу фильтров, например EventType, и выбрав фильтр по своему выбору.

Когда запрос будет готов, нажмите синюю кнопку Выполнить запрос . Если кнопка неактивна, это означает, что запрос необходимо заполнить или изменить дальше.

Примечание.

В базовом представлении фильтра используется только оператор AND , то есть при выполнении запроса создаются результаты, для которых все фильтры набора имеют значение true.

Загрузка примеров запросов

Еще один быстрый способ ознакомиться с интерактивной охотой — загрузить примеры запросов с помощью раскрывающегося меню Загрузка примеров запросов .

Примечание.

Выбор примера запроса переопределяет существующий запрос.

После загрузки примера запроса выберите Выполнить запрос.

Если вы ранее выбрали домен, список доступных примеров запросов изменяется соответствующим образом.

Чтобы восстановить полный список примеров запросов, выберите Все домены , а затем снова откройте загрузку примеров запросов.

Если загруженный пример запроса использует фильтры за пределами базового набора фильтров, кнопка переключателя неактивна. Чтобы вернуться к базовому набору фильтров, выберите Очистить все , а затем переключите все фильтры.

Использование дополнительных фильтров

Чтобы просмотреть другие группы фильтров и условия, выберите Переключатель, чтобы просмотреть дополнительные фильтры и условия.

Если переключатель Все фильтры активен, теперь можно использовать полный диапазон фильтров и условий в интерактивном режиме.

условия Create

Чтобы указать набор данных для использования в запросе, выберите Выбрать фильтр. Изучите различные разделы фильтра, чтобы найти доступные вам сведения.

Введите заголовки раздела в поле поиска в верхней части списка, чтобы найти фильтр. Разделы, заканчивающиеся информацией , содержат фильтры, предоставляющие сведения о различных компонентах, которые можно просмотреть, и фильтры для состояний сущностей. Разделы, заканчивающиеся событиями , содержат фильтры, позволяющие искать любое отслеживаемое событие в сущности. Например, для поиска действий с определенными устройствами можно использовать фильтры в разделе События устройства .

Примечание.

При выборе фильтра, который отсутствует в списке основных фильтров, переключатель отключается или отключается серым цветом, чтобы вернуться в представление базовых фильтров. Чтобы сбросить запрос или удалить существующие фильтры в текущем запросе, выберите Очистить все. Это также повторно активирует базовый список фильтров.

Затем задайте соответствующее условие для дальнейшей фильтрации данных, выбрав их во втором раскрывающемся меню и при необходимости указав записи в третьем раскрывающемся меню:

Дополнительные условия можно добавить в запрос с помощью условий AND и OR . И возвращает результаты, удовлетворяющие всем условиям в запросе, в то время как ФУНКЦИЯ ИЛИ возвращает результаты, удовлетворяющие любому из условий в запросе.

Уточнение запроса позволяет автоматически отсеивать объемные записи, чтобы создать список результатов, которые уже предназначены для конкретной охоты на угрозы.

Чтобы узнать, какие типы данных поддерживаются, и другие возможности интерактивного режима, которые помогут вам настроить запрос, см. статью Уточнение запроса в интерактивном режиме.

Примеры пошаговые инструкции по запросам

Еще один способ ознакомиться с интерактивной охотой — загрузить примеры запросов, предварительно созданные в интерактивном режиме.

В разделе Приступая к работе на странице поиска мы предоставили три примера интерактивных запросов, которые можно загрузить. Примеры запросов содержат некоторые из наиболее распространенных фильтров и входных данных, которые обычно требуются при поиске. При загрузке любого из трех примеров запросов открывается интерактивное руководство по созданию записи с помощью интерактивного режима.

Следуйте инструкциям в синих пузырьках обучения, чтобы создать запрос. Выберите Выполнить запрос.

Попробуйте некоторые запросы

Поиск успешных подключений к определенному IP-адресу

Чтобы найти успешные сетевые подключения к определенному IP-адресу, начните вводить "ip", чтобы получить рекомендуемые фильтры:

Чтобы найти события с определенным IP-адресом, где IP-адрес является местом назначения связи, выберите DestinationIPAddress в разделе События IP-адреса. Затем выберите оператор equals . Введите IP-адрес в третьем раскрывающемся меню и нажмите клавишу ВВОД:

Затем, чтобы добавить второе условие, которое выполняет поиск успешных событий сетевого взаимодействия, найдите фильтр определенного типа события:

Фильтр EventType ищет различные типы зарегистрированных событий. Он эквивалентен столбцу ActionType , который существует в большинстве таблиц в расширенной охоте. Выберите его, чтобы выбрать один или несколько типов событий для фильтрации. Чтобы найти успешные события сетевого взаимодействия, разверните раздел DeviceNetworkEvents и выберите :ConnectionSuccess

Наконец, выберите Выполнить запрос , чтобы найти все успешные сетевые подключения к IP-адресу 52.168.117.170:

Охота на фишинговые или спам-сообщения с высокой достоверностью, доставляемые в папку "Входящие"

Чтобы найти все фишинговые и спамовые сообщения с высоким уровнем достоверности, которые были доставлены в папку "Входящие" во время доставки, сначала выберите ConfidenceLevel в разделе события Email, выберите равно и выберите Высокий в разделе Фишинг и Спам из рекомендуемого закрытого списка, который поддерживает множественный выбор:

Затем добавьте еще одно условие, на этот раз указав папку или DeliveryLocation, папку "Входящие".

См. также

• Уточнение запроса в пошаговом режиме
• Работа с результатами запроса в пошаговом режиме
• Сведения о схеме

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.