Gelişmiş avcılık konusunda uzman eğitimi alma
Şunlar için geçerlidir:
- Microsoft Defender XDR
Yeni güvenlik analistleri ve deneyimli tehdit avcıları için bir web yayını serisi olan Saldırganı takip ederek gelişmiş avcılık bilgilerinizi hızla artırın. Seri, kendi gelişmiş sorgularınızı oluşturmanın tüm temelleri konusunda size yol gösterir. Temel bilgilerle ilgili ilk videoyla başlayın veya deneyim düzeyinize uygun daha gelişmiş videolara atlayın.
| Başlık | Açıklama | İzle | Sorgular |
|---|---|---|---|
| Bölüm 1: KQL ile ilgili temel bilgiler | Bu bölüm, Microsoft Defender XDR'da gelişmiş avcılık ile ilgili temel bilgileri kapsar. Kullanılabilir gelişmiş tehdit avcılığı verileri ve temel KQL söz dizimi ve işleçleri hakkında bilgi edinin. | YouTube (54:14) | Metin dosyası |
| Bölüm 2: Katılmalar | Gelişmiş tehdit avcılığı ve tabloların nasıl bir araya getirilip birleştirilip birleştirnmeye ilişkin bilgiler hakkında bilgi edinmeye devam edin. , , outer, ve birleşimleri hakkında innerbilgi edinin ve semi varsayılan Kusto innerunique birleşiminin nüanslarını anlayınunique. |
YouTube (53:33) | Metin dosyası |
| Bölüm 3: Verileri özetleme, özetleme ve görselleştirme | Verileri filtrelemeyi, işlemeyi ve birleştirmeyi öğrendiğinize göre artık verileri özetlemenin, ölçmenin, özetlemenin ve görselleştirmenin zamanı geldi. Bu bölümde, şemada summarize ek tablolar tanıtılırken işleç ve çeşitli hesaplamalar ele alınmaktadır. Ayrıca veri kümelerini içgörü ayıklamanıza yardımcı olabilecek grafiklere dönüştürmeyi de öğreneceksiniz. |
YouTube (48:52) | Metin dosyası |
| Bölüm 4: Hadi avlayalım! Olay izlemeye KQL uygulama | Bu bölümde bazı saldırgan etkinliklerini izlemeyi öğreneceksiniz. Bir saldırıyı izlemek için Kusto ve gelişmiş avcılık anlayışımızı kullanıyoruz. Siber güvenliğin ABC'leri ve bunların olay yanıtına nasıl uygulanacağı da dahil olmak üzere alanda kullanılan gerçek püf noktalarını öğrenin. | YouTube (59:36) | Metin dosyası |
L33TSP3AK ile daha uzman eğitim alın: Microsoft Defender XDR'da gelişmiş avcılık kullanarak güvenlik araştırmalarını yürütmek için teknik bilgilerini ve pratik becerilerini genişletmek isteyen analistler için bir web yayını serisi olan Microsoft Defender XDR'de gelişmiş avcılık.
| Başlık | Açıklama | İzle | Sorgular |
|---|---|---|---|
| Bölüm 1 | Bu bölümde, gelişmiş avcılık sorguları çalıştırmaya yönelik farklı en iyi yöntemleri öğreneceksiniz. Ele alınan konular arasında: sorgularınızı iyileştirme, fidye yazılımı için gelişmiş avcılık kullanma, JSON'ı dinamik bir tür olarak işleme ve dış veri işleçleriyle çalışma. | YouTube (56:34) | Metin dosyası |
| Bölüm 2 | Bu bölümde, gelen kutusu iletme kuralları aracılığıyla şüpheli veya olağan dışı oturum açma konumlarını ve veri sızdırmayı araştırmayı ve yanıtlamayı öğreneceksiniz. Cloud Security CxE Kıdemli Program Yöneticisi Sebastien Molendijk, Microsoft Defender for Cloud Apps verileriyle çok aşamalı olayları araştırmak için gelişmiş avcılığı nasıl kullanacağınızı paylaşıyor. | YouTube (57:07) | Metin dosyası |
| Bölüm 3 | Bu bölümde gelişmiş avlanmaya yönelik en son geliştirmeleri, dış veri kaynağını sorgunuza aktarmayı ve API sınırlarına ulaşılmasını önlemek için büyük sorgu sonuçlarını daha küçük sonuç kümelerine bölmek için bölümlemenin nasıl kullanılacağını ele alacağız. | YouTube (40:59) | Metin dosyası |
CSL dosyasını kullanma
Bölüme başlamadan önce GitHub'daki ilgili metin dosyasına erişin ve içeriğini gelişmiş tehdit avcılığı sorgu düzenleyicisine kopyalayın. Bir bölümü watch, kopyalanan içeriği kullanarak konuşmacıyı takip edebilir ve sorguları çalıştırabilirsiniz.
Sorguları içeren bir metin dosyasından aşağıdaki alıntı, ile //açıklama olarak işaretlenmiş kapsamlı bir kılavuz kümesi gösterir.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Aynı metin dosyası, aşağıda gösterildiği gibi açıklama öncesi ve sonrası sorgularını içerir. Düzenleyicide birden çok sorgu içeren belirli bir sorguyu çalıştırmak için imleci bu sorguya getirin ve Sorguyu çalıştır'ı seçin.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Diğer kaynaklar
| Başlık | Açıklama | İzle |
|---|---|---|
| KQL'de tabloları birleştirme | Anlamlı sonuçlar oluşturmada tabloları birleştirmenin gücünü öğrenin. | YouTube (4:17) |
| KQL'de tabloları iyileştirme | Sorgularınızı iyileştirerek karmaşık sorgular çalıştırırken zaman aşımlarından kaçınmayı öğrenin. | YouTube (5:38) |
İlgili konular
- Gelişmiş avcılığa genel bakış
- Gelişmiş tehdit avcılığı sorgu dilini öğrenme
- Sorgu sonuçlarıyla çalışın
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.