Dela via

Exempel på avancerad jakt för Microsoft Defender för Office 365

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Vill du komma igång med att söka efter e-posthot med avancerad sökning? Prova följande steg:

I distributionsguiden för Microsoft Defender för Office 365 förklaras hur du hoppar direkt och får igång konfigurationen dag 1.

Beroende på din förinställda säkerhetsprincip jämfört med anpassade principval är inställningarna för automatisk rensning på nolltid (ZAP) viktiga för att veta om ett skadligt meddelande har tagits bort från en postlåda efter leveransen.

Att snabbt kunna navigera till Kusto frågespråk för att leta efter problem är en fördel med konvergering av dessa två säkerhetscenter. Säkerhetsteam kan övervaka ZAP-missar genom att ta nästa steg i Microsoft Defender portalen på https://security.microsoft.com>Jakt>avancerad jakt.

  1. sidan Avancerad jakthttps://security.microsoft.com/v2/advanced-huntingkontrollerar du att fliken Ny fråga är markerad.

  2. Kopiera följande fråga till frågerutan :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Välj Kör fråga.

    Sidan Avancerad jakt (under Jakt) med Frågan vald överst i frågepanelen och kör en Kusto-fråga för att samla in ZAP-åtgärder under de senaste sju dagarna.

    Data från den här frågan visas i panelen Resultat under själva frågan. Resultaten innehåller information som DeviceName, AccountDisplayNameoch ZapTime i en anpassningsbar resultatuppsättning. Resultat kan även exporteras för posterna. Om du vill spara frågan för återanvändning väljer du Spara>spara som för att lägga till frågan i din lista över frågor, delade eller community-frågor.

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.