Få expertutbildning om avancerad jakt

Obs!

Vill du uppleva Microsoft 365 Defender? Läs mer om hur du kan utvärdera och pilottesta Microsoft 365 Defender.

Gäller för:

  • Microsoft 365 Defender

Öka dina kunskaper om avancerad jakt snabbt med Tracking the adversary, en webbsändningsserie för nya säkerhetsanalytiker och erfarna hotjägare. Serien vägleder dig genom grunderna hela vägen till att skapa egna avancerade frågor. Börja med den första videon om grunderna eller hoppa till mer avancerade videor som passar din upplevelsenivå.

Rubrik Beskrivning Titta Frågor
Avsnitt 1: Grunderna i KQL Denna episod täcker grunderna i avancerad jakt i Microsoft 365 Defender. Lär dig mer om tillgängliga avancerade jaktdata och grundläggande KQL-syntax och operatorer. YouTube (54:14) Textfil
Avsnitt 2: Ansluter Fortsätt lära dig mer om data i avancerad jakt och hur du kopplar ihop tabeller. Lär dig mer om inner, outer, uniqueoch semi kopplingar och förstå nyanserna i kusto-standardanslutningen innerunique . YouTube (53:33) Textfil
Avsnitt 3: Sammanfatta, pivotera och visualisera data Nu när du har lärt dig att filtrera, manipulera och koppla data är det dags att sammanfatta, kvantifiera, pivotera och visualisera. I det här avsnittet beskrivs operatorn summarize och olika beräkningar, samtidigt som ytterligare tabeller introduceras i schemat. Du lär dig också att omvandla datauppsättningar till diagram som kan hjälpa dig att extrahera insikter. YouTube (48:52) Textfil
Avsnitt 4: Låt oss jaga! Tillämpa KQL på incidentspårning I det här avsnittet lär du dig att spåra viss attackerande aktivitet. Vi använder vår förbättrade förståelse av Kusto och avancerad jakt för att spåra en attack. Lär dig faktiska trick som används inom området, inklusive säkerhetskontrollanter för cybersäkerhet och hur du tillämpar dem på incidenthantering. YouTube (59:36) Textfil

Få mer expertutbildning med L33TSP3AK: Avancerad jakt i Microsoft 365 Defender, en webbsändningsserie för analytiker som vill utöka sina tekniska kunskaper och praktiska färdigheter i att utföra säkerhetsundersökningar med avancerad jakt i Microsoft 365 Defender.

Rubrik Beskrivning Titta Frågor
Avsnitt 1 I det här avsnittet får du lära dig olika metodtips för att köra avancerade jaktfrågor. Bland de ämnen som beskrivs finns: hur du optimerar dina frågor, använder avancerad jakt på utpressningstrojaner, hanterar JSON som en dynamisk typ och arbetar med externa dataoperatorer. YouTube (56:34) Textfil
Avsnitt 2 I det här avsnittet får du lära dig hur du undersöker och svarar på misstänkta eller ovanliga inloggningsplatser och dataexfiltrering via regler för vidarebefordran av inkorgar. Sebastien Molendijk, Senior Program Manager för Cloud Security CxE, delar med sig av hur du använder avancerad jakt för att undersöka incidenter i flera steg med Microsoft Defender for Cloud Apps data. YouTube (57:07) Textfil
Avsnitt 3 I det här avsnittet går vi igenom de senaste förbättringarna av avancerad jakt, hur du importerar en extern datakälla till din fråga och hur du använder partitionering för att segmentera stora frågeresultat i mindre resultatuppsättningar för att undvika att nå API-gränserna. YouTube (40:59) Textfil

Så här använder du CSL-filen

Innan du startar ett avsnitt öppnar du motsvarande textfil på GitHub och kopierar innehållet till frågeredigeraren för avancerad jakt. När du tittar på ett avsnitt kan du använda det kopierade innehållet för att följa talaren och köra frågor.

Följande utdrag från en textfil som innehåller frågorna visar en omfattande uppsättning riktlinjer som markerats som kommentarer med //.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

Samma textfil innehåller frågor före och efter kommentarerna enligt nedan. Om du vill köra en specifik fråga med flera frågor i redigeraren flyttar du markören till den frågan och väljer Kör fråga.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

Andra resurser

Rubrik Beskrivning Titta
Koppla tabeller i KQL Lär dig hur du sammanfogar tabeller för att skapa meningsfulla resultat. YouTube (4:17)
Optimera tabeller i KQL Lär dig hur du undviker tidsgränser när du kör komplexa frågor genom att optimera dina frågor. YouTube (5:38)