Arbeta med avancerade frågeresultat för jakt

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Du kan skapa avancerade jaktfrågor för att returnera exakt information, men du kan också arbeta med frågeresultaten för att få ytterligare insikter och undersöka specifika aktiviteter och indikatorer. Du kan utföra följande åtgärder på dina frågeresultat:

  • Visa resultat som en tabell eller ett diagram
  • Exportera tabeller och diagram
  • Öka detaljnivån till detaljerad entitetsinformation
  • Justera dina frågor direkt från resultaten

Visa frågeresultat som en tabell eller ett diagram

Som standard visar avancerad jakt frågeresultat som tabelldata. Du kan också visa samma data som ett diagram. Avancerad jakt stöder följande vyer:

Vytyp Beskrivning
Tabell Visar frågeresultatet i tabellformat
Stapeldiagram Renderar en serie unika objekt på x-axeln som lodräta staplar vars höjd representerar numeriska värden från ett annat fält
Cirkeldiagram Återger avsnittspajer som representerar unika objekt. Storleken på varje cirkel representerar numeriska värden från ett annat fält.
Linjediagram Ritar numeriska värden för en serie unika objekt och ansluter de ritade värdena
Punktdiagram Ritar numeriska värden för en serie unika objekt
Ytdiagram Ritar numeriska värden för en serie unika objekt och fyller avsnitten under de ritade värdena
Staplat ytdiagram Ritar numeriska värden för en serie unika objekt och staplar de ifyllda avsnitten under de ritade värdena
Tidsdiagram Ritar värden efter antal på en linjär tidsskala

Skapa frågor för effektiva diagram

Vid återgivning av diagram identifierar avancerad jakt automatiskt kolumner av intresse och de numeriska värden som ska aggregeras. För att få meningsfulla diagram skapar du dina frågor för att returnera de specifika värden som du vill se visualiserade. Här är några exempelfrågor och de resulterande diagrammen.

Aviseringar efter allvarlighetsgrad

Använd operatorn summarize för att hämta ett numeriskt antal av de värden som du vill diagrammet. Frågan nedan använder operatorn summarize för att hämta antalet aviseringar efter allvarlighetsgrad.

AlertInfo
| summarize Total = count() by Severity

När resultatet återges visar ett kolumndiagram varje allvarlighetsgradsvärde som en separat kolumn:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Ett exempel på ett diagram som visar avancerade jaktresultat i Microsoft Defender-portalen

Nätfiske via e-post i de tio främsta avsändardomänerna

Om du har att göra med en lista med värden som inte är ändliga kan du använda operatorn Top för att endast kartlägga de värden som har flest instanser. Om du till exempel vill få de 10 främsta avsändardomänerna med flest nätfiskemeddelanden använder du frågan nedan:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Använd cirkeldiagramvyn för att effektivt visa distributionen mellan de översta domänerna:

Cirkeldiagrammet som visar avancerade jaktresultat i Microsoft Defender-portalen

Filaktiviteter över tid

Med hjälp av operatorn summarizebin() med funktionen kan du söka efter händelser som involverar en viss indikator över tid. Frågan nedan räknar händelser som involverar filen invoice.doc med 30 minuters intervall för att visa toppar i aktiviteten som är relaterad till den filen:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Linjediagrammet nedan visar tydligt tidsperioder med mer aktivitet som involverar invoice.doc:

Linjediagrammet som visar avancerade jaktresultat i Microsoft Defender-portalen

Exportera tabeller och diagram

När du har kört en fråga väljer du Exportera för att spara resultatet i den lokala filen. Den valda vyn avgör hur resultaten exporteras:

  • Tabellvy – Frågeresultatet exporteras i tabellform som en Microsoft Excel-arbetsbok
  • Valfritt diagram – Frågeresultatet exporteras som en JPEG-bild av det renderade diagrammet

Öka detaljnivån från frågeresultat

Du kan också utforska resultaten i linje med följande funktioner:

  • Expandera ett resultat genom att välja listrutepilen till vänster om varje resultat
  • Om tillämpligt expanderar du information för resultat i JSON- och matrisformat genom att välja listrutepilen till vänster om tillämpliga kolumnnamn för ökad läsbarhet
  • Öppna sidofönstret om du vill se information om en post (samtidigt med expanderade rader)

Skärmbild av expanderande resultat för att öka detaljnivån

Du kan också högerklicka på ett resultatvärde på en rad så att du kan använda det för att lägga till fler filter i den befintliga frågan eller kopiera värdet för användning i ytterligare undersökning.

Skärmbild av alternativ när du högerklickar på ett alternativ

För JSON- och matrisfält kan du dessutom högerklicka och uppdatera den befintliga frågan så att den inkluderar eller exkluderar fältet, eller för att utöka fältet till en ny kolumn.

Skärmbild av alternativ när du högerklickar på ett alternativ för JSON- och matrisfält

Om du snabbt vill granska en post i frågeresultatet väljer du motsvarande rad för att öppna panelen Inspektera post . Panelen innehåller följande information baserat på den valda posten:

  • Tillgångar – Sammanfattad vy över huvudtillgångarna (postlådor, enheter och användare) som finns i posten, berikad med tillgänglig information, till exempel risk- och exponeringsnivåer
  • All information – Alla värden från kolumnerna i posten

Den valda posten med panel för granskning av posten i Microsoft Defender-portalen

Om du vill visa mer information om en specifik entitet i frågeresultatet, till exempel en dator, fil, användare, IP-adress eller URL, väljer du entitetsidentifieraren för att öppna en detaljerad profilsida för den entiteten.

Justera dina frågor från resultaten

Välj de tre punkterna till höger om en kolumn på panelen Inspektera post . Du kan använda alternativen för att:

  • Leta uttryckligen efter det valda värdet (==)
  • Undanta det valda värdet från frågan (!=)
  • Få mer avancerade operatorer för att lägga till värdet i din fråga, till exempel contains, starts withoch ends with

Fönstret Åtgärdstyp på sidan Inspektera post i Microsoft Defender-portalen

Obs!

Vissa tabeller i den här artikeln kanske inte är tillgängliga på Microsoft Defender för Endpoint. Aktivera Microsoft Defender XDR för att söka efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade jaktarbetsflöden från Microsoft Defender för Endpoint till Microsoft Defender XDR genom att följa stegen i Migrera avancerade jaktfrågor från Microsoft Defender för Endpoint.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.