Работа с расширенными результатами запросов охоты
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Хотя вы можете создавать расширенные запросы охоты для получения точных сведений, вы также можете работать с результатами запроса, чтобы получить дополнительные сведения и исследовать конкретные действия и индикаторы. С результатами запроса можно выполнить следующие действия:
- Просмотр результатов в виде таблицы или диаграммы
- Экспорт таблиц и диаграмм
- Детализация до подробных сведений о сущности
- Настройка запросов непосредственно из результатов
Просмотр результатов запроса в виде таблицы или диаграммы
По умолчанию при расширенной охоте результаты запроса отображаются в виде табличных данных. Вы также можете отобразить те же данные, что и диаграмма. Расширенная охота поддерживает следующие представления:
Тип представления | Описание |
---|---|
Table | Отображение результатов запроса в табличном формате |
Гистограмма | Отрисовывает ряд уникальных элементов на оси X в виде вертикальных полос, высота которых представляет числовые значения из другого поля. |
Секторная диаграмма | Отрисовывает секционные пироги, представляющие уникальные элементы. Размер каждого круга представляет числовые значения из другого поля. |
График | Отображает числовые значения для ряда уникальных элементов и соединяет значения, нарисованные на диаграмме |
Точечная диаграмма | Отображает числовые значения для ряда уникальных элементов |
Диаграмма с областями | Отображает числовые значения для ряда уникальных элементов и заполняет разделы под значениями, нарисовав их. |
Диаграмма с областями с накоплением | График числовых значений для ряда уникальных элементов и сложение заполненных разделов под отображаемыми значениями |
Временная диаграмма | Отображение значений по подсчету на линейной шкале времени |
Создание запросов для эффективных диаграмм
При отрисовке диаграмм расширенная охота автоматически определяет интересующие столбцы и числовые значения для агрегирования. Чтобы получить осмысленные диаграммы, создайте запросы, возвращающие определенные значения, которые вы хотите визуализировать. Ниже приведены примеры запросов и результирующие диаграммы.
Оповещения по серьезности
Используйте оператор , summarize
чтобы получить числовое число значений, которые требуется на диаграмме. В приведенном ниже запросе summarize
оператор используется для получения количества оповещений по серьезности.
AlertInfo
| summarize Total = count() by Severity
При отрисовке результатов гистограмма отображает каждое значение серьезности в виде отдельного столбца:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Фишинговые сообщения электронной почты в первой десятке доменов отправителей
Если вы работаете со списком значений, которые не являются конечными, можно использовать Top
оператор для диаграммы только значений с наибольшим числом экземпляров. Например, чтобы получить первые 10 доменов отправителей с наибольшим числом фишинговых сообщений электронной почты, используйте следующий запрос:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Используйте представление круговой диаграммы для эффективного отображения распределения по верхним доменам:
Действия с файлами с течением времени
summarize
С помощью оператора с функцией bin()
можно проверка для событий, связанных с определенным индикатором с течением времени. Приведенный ниже запрос подсчитывает события с участием файла invoice.doc
с интервалом в 30 минут, чтобы отобразить пики активности, связанные с этим файлом:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
На приведенной ниже графике четко выделены периоды времени с дополнительными действиями, включающими invoice.doc
:
Экспорт таблиц и диаграмм
После выполнения запроса выберите Экспорт , чтобы сохранить результаты в локальном файле. Выбранное представление определяет, как экспортируются результаты:
- Представление таблицы— результаты запроса экспортируются в табличном виде в виде книги Microsoft Excel.
- Любая диаграмма — результаты запроса экспортируются в виде изображения отрисоченной диаграммы в формате JPEG.
Результаты фильтрации
После выполнения запроса выберите Фильтр , чтобы сузить результаты.
Чтобы добавить фильтр, выберите данные для фильтрации, выбрав одно или несколько полей проверка. Затем нажмите Добавить.
Вы можете еще больше сузить результаты до конкретных данных, выбрав только что добавленный фильтр.
Откроется раскрывающийся список с возможными фильтрами, которые можно использовать далее. Выберите одно или несколько полей проверка, а затем нажмите кнопку Применить.
Убедитесь, что вы добавили нужные фильтры, проверив раздел Фильтры.
Детализация по результатам запроса
Вы также можете просмотреть результаты в соответствии со следующими функциями:
- Разверните результат, щелкнув стрелку раскрывающегося списка слева от каждого результата.
- Если применимо, разверните сведения о результатах в формате JSON и массива, выбрав стрелку раскрывающегося списка слева от имени применимых столбцов, чтобы добавить удобочитаемость.
- Откройте боковую панель, чтобы просмотреть сведения о записи (одновременно с развернутыми строками)
Вы также можете щелкнуть правой кнопкой мыши любое результируемое значение в строке, чтобы использовать его для добавления дополнительных фильтров в существующий запрос или копирования значения для дальнейшего изучения.
Кроме того, для полей JSON и массива можно щелкнуть правой кнопкой мыши и обновить существующий запрос, чтобы включить или исключить поле, или расширить поле до нового столбца.
Чтобы быстро проверить запись в результатах запроса, выберите соответствующую строку, чтобы открыть панель Проверка записи . На панели отображаются следующие сведения на основе выбранной записи:
- Активы — сводное представление main ресурсов (почтовых ящиков, устройств и пользователей), найденных в записи, дополненное доступной информацией, например уровнями риска и риска.
- Все сведения — все значения из столбцов в записи
Чтобы просмотреть дополнительные сведения о конкретной сущности в результатах запроса, например компьютер, файл, пользователь, IP-адрес или URL-адрес, выберите идентификатор сущности, чтобы открыть страницу подробного профиля для этой сущности.
Регулирование запросов на основе результатов
Выделите три точки справа от любого столбца на панели Проверка записи . Предлагаемые варианты можно использовать для
- открытого поиска избранного значения (
==
) - исключения избранного значения из запроса (
!=
) - Получите более сложные операторы для добавления значения в запрос, например
contains
,starts with
иends with
Примечание.
Некоторые таблицы в этой статье могут быть недоступны на Microsoft Defender для конечной точки. Включите Microsoft Defender XDR для поиска угроз с помощью дополнительных источников данных. Вы можете переместить расширенные рабочие процессы охоты с Microsoft Defender для конечной точки на Microsoft Defender XDR, выполнив действия, описанные в разделе Миграция расширенных запросов охоты из Microsoft Defender для конечной точки.
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
- Обзор настраиваемых обнаружений
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.