Förfina frågan i guidat läge

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Använda olika datatyper

Avancerad jakt i guidat läge har stöd för flera datatyper som du kan använda för att finjustera frågan.

  • Nummer
    Skärmbild av tal som tredje villkor

  • Strängar
    Skärmbild av strängar som tredje villkor

    I den fria textrutan skriver du värdet och trycker på Retur för att lägga till det. Observera att avgränsare mellan värden är Retur.

    Skärmbild som visar olika villkor som du kan använda

  • Boolesk
    Skärmbild av booleska värden som tredje villkor

  • Datetime
    Skärmbild av datetime-värden som tredje villkor

  • Sluten lista – Du behöver inte komma ihåg det exakta värdet du letar efter. Du kan enkelt välja från en föreslagen sluten lista som stöder flera val.
    Skärmbild av en stängd lista som används som tredje villkor

Använda undergrupper

Du kan skapa grupper med villkor genom att klicka på Lägg till undergrupp:

Skärmbild som markerar knappen Lägg till undergrupp

Skärmbild som visar användning av undergrupper

Smart automatisk komplettering för sökning av enheter och användarkonton stöds. Du behöver inte komma ihåg enhets-ID, fullständigt enhetsnamn eller användarnamn. Du kan börja skriva de första tecknen på enheten eller användaren som du letar efter och en lista som föreslås visas där du kan välja vad du behöver:

Skärmbild som visar stöd för smart automatisk komplettering

Använda EventType

Du kan även söka efter specifika händelsetyper som alla misslyckade inloggningar, filändringshändelser eller lyckade nätverksanslutningar med hjälp av EventType-filtret i alla avsnitt där det är tillämpligt.

Om du till exempel vill lägga till ett villkor som söker efter registervärdeborttagningar kan du gå till avsnittet Registerhändelser och välja EventType.

Skärmbild av olika EventTypes

Om du väljer EventType under Registerhändelser kan du välja mellan olika registerhändelser, inklusive den du letar efter, RegistryValueDeleted.

Skärmbild av EventType RegistryValueDeleted

Obs!

EventType är motsvarigheten ActionType till i dataschemat, som användare av avancerat läge kanske är mer bekanta med.

Testa frågan med en mindre exempelstorlek

Om du fortfarande arbetar med din fråga och vill se dess prestanda och några exempelresultat snabbt justerar du antalet poster som ska returneras genom att välja en mindre uppsättning via listrutan Exempelstorlek .

Skärmbild av listrutan För exempelstorlek

Exempelstorleken är inställd på 10 000 resultat som standard. Det här är det maximala antalet poster som kan returneras i jakt. Vi rekommenderar dock starkt att du sänker urvalsstorleken till 10 eller 100 för att snabbt testa frågan eftersom det förbrukar färre resurser medan du fortfarande arbetar med att förbättra frågan.

När du har slutfört frågan och är redo att använda den för att hämta alla relevanta resultat för din jaktaktivitet kontrollerar du sedan att exempelstorleken är inställd på 10 000, maximalt.

Växla till avancerat läge när du har skapat en fråga

Du kan klicka på Redigera i KQL för att visa KQL-frågan som genereras av dina valda villkor. Redigering i KQL öppnar en ny flik i avancerat läge med motsvarande KQL-fråga:

Skärmbild som markerar knappen Redigera i KQL

Skärmbild som visar samma fråga från guidad till avancerad

I exemplet ovan är den valda vyn Alla. Därför kan du se att KQL-frågan söker igenom alla tabeller som har filegenskaperna namn och SHA256, och i alla relevanta kolumner som täcker dessa egenskaper.

Om du ändrar vyn till E-postmeddelanden & samarbete begränsas frågan till:

Skärmbild som visar samma fråga från guidad till avancerad men med begränsad domän

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.