Aracılığıyla paylaş

Microsoft Defender'da kılavuzlu modu kullanarak tehdit avcılığı sorguları oluşturma

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Kılavuzlu modda sorgu oluşturucu, analistlerin Kusto Sorgu Dili (KQL) veya veri şemasını bilmeden anlamlı avcılık sorguları oluşturmasına olanak tanır. Her deneyim katmanındaki analistler son 30 güne ait verileri filtrelemek, olay araştırmalarını genişletmek, tehdit verileri üzerinde veri analizi gerçekleştirmek veya belirli tehdit alanlarına odaklanmak için sorgu oluşturucusunu kullanabilir.

Analist, hangi veri kümesinin bakılıp hangi filtrelerin ve koşulların kullanılacağını seçerek verileri ihtiyaç duydukları değere daraltabilir.

Kılavuzlu avlanmaya genel bir bakış elde etmek için bu videoya watch:

Sorguyu oluşturucuda açma

Gelişmiş tehdit avcılığı sayfasında Yeni oluştur'u seçerek yeni bir sorgu sekmesi açın ve Oluşturucuda sorgula'yı seçin.

Kılavuzlu mod sorgu oluşturucusunun ekran görüntüsü

Böylece, açılan menüleri kullanarak farklı bileşenler seçerek sorgunuzu oluşturabilirsiniz.

Avlanılacak veri etki alanını belirtin

Sorgunun hangi etki alanını kapsadığını seçerek avın kapsamını denetleyebilirsiniz:

Kılavuzlu mod sorgu oluşturucu etki alanları açılan listesinin ekran görüntüsü

Tümü seçildiğinde şu anda erişiminiz olan tüm etki alanlarındaki veriler bulunur. Belirli bir etki alanıyla daraltmak, yalnızca bu etki alanıyla ilgili filtrelere izin verir.

Şu seçimlerden birini yapabilirsiniz:

  • Tüm etki alanları - Sorgunuzdaki tüm kullanılabilir verilere göz atmak için.
  • Uç noktalar - Uç Nokta için Microsoft Defender tarafından sağlanan uç nokta verilerine bakmak için.
  • Email ve işbirliği - SharePoint, OneDrive ve diğerleri gibi e-posta ve işbirliği uygulamaları verilerine göz atmak için, Tehdit Gezgini'ni bilen kullanıcılar aynı verileri burada bulabilir.
  • Uygulamalar ve kimlikler - Microsoft Defender for Cloud Apps ve Kimlik için Microsoft Defender tarafından sağlanan uygulama ve kimlik verilerine bakmak için Etkinlik günlüğü hakkında bilgi sahibi olan kullanıcılar aynı verileri burada bulabilir.
  • Bulut altyapısı - Bulut için Microsoft Defender tarafından sağlanan bulut altyapısı verilerine göz atmak için.
  • Maruz kalma yönetimi - Microsoft Güvenlik Korunma Düzeyi Yönetimi tarafından sağlanan maruz kalma yönetimi verilerine göz atmak için.

Temel filtreleri kullanma

Varsayılan olarak, rehberli avcılık hızlı bir şekilde başlamanızı sağlamak için birkaç temel filtre içerir.

Kılavuzlu mod sorgu oluşturucusu temel filtre kümesinin ekran görüntüsü

Örneğin Uç Noktalar gibi bir veri kaynağı seçtiğinizde sorgu oluşturucusu yalnızca geçerli filtre gruplarını görüntüler. Daha sonra, daraltmayla ilgilendiğiniz bir filtreyi, örneğin EventType filtresini seçerek ve tercih ettiğiniz filtreyi seçerek seçebilirsiniz.

Kılavuzlu mod sorgu oluşturucusu uç noktası temel filtre kümesinin ekran görüntüsü

Sorgu hazır olduktan sonra mavi Sorguyu çalıştır düğmesini seçin. Düğme gri görünüyorsa, sorgunun doldurulması veya daha fazla düzenlenmesi gerektiği anlamına gelir.

Not

Temel filtre görünümü yalnızca AND işlecini kullanır, yani sorgu çalıştırıldığında tüm ayarlanan filtrelerin doğru olduğu sonuçlar oluşturulur.

Örnek sorguları yükleme

Kılavuzlu avcılık hakkında bilgi edinmenin bir diğer hızlı yolu da Örnek sorguları yükle açılan menüsünü kullanarak örnek sorguları yüklemektir. Kılavuzlu mod sorgu oluşturucusu yük örnek sorgular listesinin ekran görüntüsü

Not

Örnek sorgu seçildiğinde mevcut sorgu geçersiz kılınıyor.

Örnek sorgu yüklendikten sonra Sorguyu çalıştır'ı seçin.

Destekli mod sorgu oluşturucusu yüklenen sorgunun ekran görüntüsü

Daha önce bir etki alanı seçtiyseniz, kullanılabilir örnek sorguların listesi buna göre değişir.

Kılavuzlu mod sorgu oluşturucusu kısıtlı listesinin ekran görüntüsü

Örnek sorguların tam listesini geri yüklemek için Tüm etki alanları'nı seçin ve Örnek sorguları yükle'yi yeniden açın.

Yüklenen örnek sorgu temel filtre kümesinin dışındaki filtreleri kullanıyorsa iki durumlu düğme gri görünür. Temel filtre kümesine dönmek için Tümünü temizle'yi seçip Tüm filtreler'i değiştirin.

Daha fazla filtre kullanma

Daha fazla filtre grubunu ve koşulu görüntülemek için, daha fazla filtre ve koşul görmek için Geçiş'i seçin.

Kılavuzlu mod sorgu oluşturucusu diğer filtreler iki durumlu düğmesinin ekran görüntüsü

Tüm filtreler iki durumlu düğmesi etkin olduğunda, artık kılavuzlu modda tam filtre ve koşul aralığını kullanabilirsiniz.

Tüm filtrelerin etkin olduğu kılavuzlu mod sorgu oluşturucusunun ekran görüntüsü

Koşul oluşturma

Sorguda kullanılacak bir veri kümesini belirtmek için Filtre seçin'i seçin. Kullanabileceğiniz öğeleri bulmak için farklı filtre bölümlerini keşfedin.

Kullanabileceğiniz farklı filtreleri gösteren ekran görüntüsü

Filtreyi bulmak için listenin en üstündeki arama kutusuna bölümün başlıklarını yazın. Bilgilerle biten bölümler, bakabileceğiniz farklı bileşenler hakkında bilgi sağlayan filtreler ve varlıkların durumları için filtreler içerir. Olaylarla biten bölümler, varlıkta izlenen herhangi bir olayı aramanıza olanak sağlayan filtreler içerir. Örneğin, belirli cihazlarla ilgili etkinlikleri avlamak için Cihaz olayları bölümündeki filtreleri kullanabilirsiniz.

Not

Temel filtreler listesinde olmayan bir filtre seçildiğinde, temel filtreler görünümüne dönmek için iki durumlu düğme devre dışı bırakılır veya gri görünür. Sorguyu sıfırlamak veya geçerli sorgudaki mevcut filtreleri kaldırmak için Tümünü temizle'yi seçin. Bu, temel filtreler listesini de yeniden etkinleştirir.

Ardından, ikinci açılan menüden seçerek ve gerekirse üçüncü açılan menüde girdiler sağlayarak verileri daha fazla filtrelemek için uygun koşulu ayarlayın:

Kullanabileceğiniz farklı koşulları gösteren ekran görüntüsü

VE ve OR koşullarını kullanarak sorgunuza daha fazla koşul ekleyebilirsiniz. AND, sorgudaki tüm koşulları yerine getiren sonuçlar döndürürken OR, sorgudaki koşulların herhangi birini karşılayan sonuçlar döndürür.

VE VEYA işleçlerini gösteren ekran görüntüsü

Sorgunuzu iyileştirmeniz, belirli tehdit avcılığı ihtiyacınıza yönelik bir sonuç listesi oluşturmak için hacimli kayıtları otomatik olarak gözden geçirmenizi sağlar.

Hangi veri türlerinin desteklendiği ve sorgunuzda ince ayar yapmanızı sağlayacak diğer destekli mod özelliklerini öğrenmek için Bkz. Sorgunuzu kılavuzlu modda iyileştirme.

Örnek sorgu adım adım kılavuzlarını deneyin

Destekli avcılık hakkında bilgi edinmenin bir diğer yolu da kılavuzlu modda önceden oluşturulmuş örnek sorguları yüklemektir.

Tehdit avcılığı sayfasının Başlarken bölümünde yükleyebileceğiniz üç destekli sorgu örneği sağladık. Sorgu örnekleri, genellikle avcılığınızda ihtiyacınız olan en yaygın filtrelerden ve girişlerden bazılarını içerir. Üç örnek sorgudan herhangi birinin yüklenmesi, destekli modu kullanarak girişi nasıl oluşturabileceğinize ilişkin kılavuzlu bir tur açar.

Kılavuzlu mod sorgu oluşturucusu kullanmaya başlama sorgu kılavuzunun ekran görüntüsü

Sorgunuzu oluşturmak için mavi öğretim kabarcıklarındaki yönergeleri izleyin. Sorguyu çalıştır'ı seçin.

Bazı sorguları deneyin

Belirli IP'ye başarılı bağlantılar ara

Belirli bir IP adresiyle başarılı ağ iletişimlerini aramak için önerilen filtreleri almak için "ip" yazmaya başlayın:

Belirli bir IP ilk filtresine başarılı bağlantılar için kılavuzlu mod sorgu oluşturucu avı ekran görüntüsü

IP'nin iletişimin hedefi olduğu belirli bir IP adresini içeren olayları aramak için, IP Adresi Olayları bölümünün altında öğesini seçin DestinationIPAddress . Ardından equals işlecini seçin. Üçüncü açılan menüye IP yazın ve Enter tuşuna basın:

Belirli IP'ye başarılı bağlantılar için kılavuzlu mod sorgu oluşturucu avı ekran görüntüsü

Ardından, başarılı ağ iletişim olaylarını arayan ikinci bir koşul eklemek için belirli bir olay türünün filtresini arayın:

Belirli IP'ye başarılı bağlantılar için kılavuzlu mod sorgu oluşturucu avının ekran görüntüsü, ikinci koşul

EventType filtresi, günlüğe kaydedilen farklı olay türlerini arar. Gelişmiş avcılık tablolarının çoğunda bulunan ActionType sütununa eşdeğerdir. Filtre uygulamak üzere bir veya daha fazla olay türü seçmek için bunu seçin. Başarılı ağ iletişim olaylarını aramak için DeviceNetworkEvents bölümünü genişletin ve ardından öğesini seçin ConnectionSuccess:

Belirli bir IP üçüncü koşuluna başarılı bağlantılar için kılavuzlu mod sorgu oluşturucu avı ekran görüntüsü

Son olarak, 52.168.117.170 IP adresine yapılan tüm başarılı ağ iletişimlerini aramak için Sorguyu çalıştır'ı seçin:

Belirli IP sonuçları görünümüne başarılı bağlantılar için kılavuzlu mod sorgu oluşturucu avı ekran görüntüsü

Gelen kutusuna teslim edilen yüksek güvenilirlikli kimlik avı veya istenmeyen posta e-postaları arayın

Teslim sırasında gelen kutusu klasörüne teslim edilen tüm yüksek güvenilirlikli kimlik avı ve istenmeyen posta e-postalarını aramak için önce olaylar Email altında ConfidenceLevel öğesini seçin, eşittir'i seçin ve çoklu seçimi destekleyen önerilen kapalı listeden Hem Kimlik Avı hem de İstenmeyen Posta altında Yüksek'i seçin:

Kılavuzlu mod sorgu oluşturucusu, gelen kutusuna ilk koşula teslim edilen yüksek güvenilirlikli kimlik avı veya istenmeyen posta e-postalarını avlar ekran görüntüsü

Ardından, bu kez klasörü veya DeliveryLocation, Gelen Kutusu/klasörü belirterek başka bir koşul ekleyin.

Kılavuzlu mod sorgu oluşturucusu, gelen kutusuna teslim edilen yüksek güvenilirlikli kimlik avı veya istenmeyen posta e-postalarının ekran görüntüsü, ikinci koşul

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.