Поделиться через


Получите экспертную подготовку по расширенной охоте

Область применения:

  • Microsoft Defender XDR

Быстро повысьте свои знания о расширенной охоте с помощью серии веб-трансляций для новых аналитиков безопасности и опытных охотников за угрозами. В этой серии описаны основные сведения о создании собственных сложных запросов. Начните с первого видео об основах или перейдите к более продвинутым видео, которые соответствуют вашему уровню опыта.

Название Описание Просмотр Запросы
Эпизод 1. Основы KQL В этом эпизоде рассматриваются основы расширенной охоты в Microsoft Defender XDR. Узнайте о доступных расширенных данных охоты, а также базовом синтаксисе и операторах KQL. YouTube (54:14) Текстовый файл
Эпизод 2: Соединения Продолжайте изучать данные в расширенной охоте и объединять таблицы вместе. Сведения о innerсоединениях , outerunique, иsemi, а также нюансы соединения Kusto innerunique по умолчанию. YouTube (53:33) Текстовый файл
Эпизод 3. Обобщение, сводка и визуализация данных Теперь, когда вы научились фильтровать, обрабатывать и объединять данные, пришло время для подведения итогов, количественной оценки, сводки и визуализации. В этом эпизоде рассматриваются summarize оператор и различные вычисления, а также дополнительные таблицы в схеме. Вы также научитесь превращать наборы данных в диаграммы, которые помогут вам извлечь аналитические сведения. YouTube (48:52) Текстовый файл
Эпизод 4: Давайте охотиться! Применение KQL к отслеживанию инцидентов В этом эпизоде вы узнаете, как отслеживать некоторые действия злоумышленников. Мы используем наше улучшенное понимание Kusto и расширенную охоту для отслеживания атаки. Узнайте о реальных способах, используемых в этой области, включая ЭБЦ кибербезопасности и их применение к реагированию на инциденты. YouTube (59:36) Текстовый файл

Получите больше экспертной подготовки с L33TSP3AK: Расширенная охота в Microsoft Defender XDR, серия веб-трансляций для аналитиков, желающих расширить свои технические знания и практические навыки в проведении расследований безопасности с помощью расширенной охоты в Microsoft Defender XDR.

Название Описание Просмотр Запросы
Эпизод 1 В этом эпизоде вы узнаете о различных рекомендациях по выполнению расширенных запросов охоты. Среди рассматриваемых тем: оптимизация запросов, использование расширенной охоты на программы-шантажиста, обработка JSON как динамического типа и работа с внешними операторами данных. YouTube (56:34) Текстовый файл
Эпизод 2 В этом эпизоде вы узнаете, как исследовать и реагировать на подозрительные или необычные расположения входа и кражу данных с помощью правил переадресации папки "Входящие". Себастьен Молендийк (Sebastien Molendijk), старший руководитель программы Cloud Security CxE, рассказывает, как использовать расширенную охоту для изучения многоэтапных инцидентов с помощью Microsoft Defender for Cloud Apps данных. YouTube (57:07) Текстовый файл
Эпизод 3 В этом эпизоде мы рассмотрим последние улучшения расширенной охоты, как импортировать внешний источник данных в запрос и как использовать секционирование для сегментирования больших результатов запросов на более мелкие результирующие наборы, чтобы избежать превышения ограничений API. YouTube (40:59) Текстовый файл

Использование CSL-файла

Перед запуском эпизода перейдите к соответствующему текстовому файлу на GitHub и скопируйте его содержимое в расширенный редактор запросов охоты. Когда вы watch эпизоде, вы можете использовать скопированное содержимое, чтобы отслеживать говорящего и выполнять запросы.

В следующем фрагменте текстового файла, содержащего запросы, показан полный набор рекомендаций, помеченных как примечания с //помощью .

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

Один и тот же текстовый файл содержит запросы до и после комментариев, как показано ниже. Чтобы выполнить определенный запрос с несколькими запросами в редакторе, переместите курсор в этот запрос и выберите Выполнить запрос.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

Другие ресурсы

Название Описание Просмотр
Объединение таблиц в KQL Узнайте о возможности объединения таблиц при создании значимых результатов. YouTube (4:17)
Оптимизация таблиц в KQL Узнайте, как избежать превышения времени ожидания при выполнении сложных запросов путем оптимизации запросов. YouTube (5:38)

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.