Aracılığıyla paylaş

Gelişmiş tehdit avcılığı sorgu sonuçlarıyla çalışma

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Hassas bilgiler döndürmek için gelişmiş tehdit avcılığı sorgularınızı oluşturabilirsiniz ancak daha fazla içgörü elde etmek ve belirli etkinlikleri ve göstergeleri araştırmak için sorgu sonuçlarıyla da çalışabilirsiniz. Sorgu sonuçlarınızda aşağıdaki eylemleri gerçekleştirebilirsiniz:

  • Sonuçları tablo veya grafik olarak görüntüleme
  • Tabloları ve grafikleri dışarı aktarma
  • Ayrıntılı varlık bilgilerini detaya gitme
  • Sorgularınızı doğrudan sonuçlardan ayarlama

Sorgu sonuçlarını tablo veya grafik olarak görüntüleme

Varsayılan olarak, gelişmiş avcılık sorgu sonuçlarını tablosal veriler olarak görüntüler. Grafikle aynı verileri de görüntüleyebilirsiniz. Gelişmiş avcılık aşağıdaki görünümleri destekler:

Görünüm türü Açıklama
Tablo Sorgu sonuçlarını tablo biçiminde görüntüler
Sütun grafik X ekseninde bir dizi benzersiz öğeyi, yükseklikleri başka bir alandan sayısal değerleri temsil eden dikey çubuklar olarak işler
Pasta grafik Benzersiz öğeleri temsil eden bölüm pastalarını işler. Her pastanın boyutu başka bir alandaki sayısal değerleri temsil eder.
Çizgi grafik Bir dizi benzersiz öğe için sayısal değerleri çizer ve çizilen değerleri bağlar
Dağılım grafiği Bir dizi benzersiz öğe için sayısal değerler çizer
Alan grafiği Bir dizi benzersiz öğe için sayısal değerler çizer ve çizilen değerlerin altındaki bölümleri doldurur
Yığılmış alan grafiği Bir dizi benzersiz öğe için sayısal değerler çizer ve doldurulmuş bölümleri çizilen değerlerin altına yığır
Zaman grafiği Değerleri doğrusal zaman ölçeğine göre sayarak çizer

Etkin grafikler için sorgu oluşturma

Grafikleri işlerken, gelişmiş avcılık ilgi çekici sütunları ve toplanmış sayısal değerleri otomatik olarak tanımlar. Anlamlı grafikler elde etmek için, sorgularınızı görselleştirilmiş olarak görmek istediğiniz belirli değerleri döndürecek şekilde ayarlayın. Bazı örnek sorgular ve sonuçta elde edilen grafikler aşağıda verilmiştir.

Önem derecesine göre uyarılar

Grafiğini summarize oluşturmak istediğiniz değerlerin sayısal sayısını elde etmek için işlecini kullanın. Aşağıdaki sorgu, önem derecesine göre uyarı sayısını almak için işlecini kullanır summarize .

AlertInfo
| summarize Total = count() by Severity

Sonuçlar işlenirken, bir sütun grafiği her önem derecesini ayrı bir sütun olarak görüntüler:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Microsoft Defender portalında gelişmiş avcılık sonuçlarını görüntüleyen bir grafik örneği

İlk on gönderen etki alanında kimlik avı e-postaları

Sınırlı olmayan değerlerin listesiyle ilgileniyorsanız işlecini Top kullanarak yalnızca en çok örneğe sahip değerlerin grafiğini oluşturabilirsiniz. Örneğin, en çok kimlik avı e-postasına sahip ilk 10 gönderen etki alanını almak için aşağıdaki sorguyu kullanın:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

En üst etki alanları arasında dağıtımı etkili bir şekilde göstermek için pasta grafik görünümünü kullanın:

Microsoft Defender portalında gelişmiş avcılık sonuçlarını görüntüleyen pasta grafik

Zaman içindeki dosya etkinlikleri

summarize işlecini bin() işleviyle birlikte kullanarak belirli bir göstergeyi içeren olayları zaman içinde de kontrol edebilirsiniz. Aşağıdaki sorgu, dosyayla ilgili etkinlikteki ani artışları göstermek için dosyayla invoice.doc ilgili olayları 30 dakikalık aralıklarla sayar:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Aşağıdaki çizgi grafik, içeren daha fazla etkinlik içeren zaman aralıklarını net bir şekilde vurgular invoice.doc:

Microsoft Defender portalında gelişmiş avcılık sonuçlarını görüntüleyen çizgi grafik

Tabloları ve grafikleri dışarı aktarma

Sorguyu çalıştırdıktan sonra dışarı aktar'ı seçerek sonuçları yerel dosyaya kaydedin. Seçtiğiniz görünüm sonuçların nasıl dışarı aktarileceğini belirler:

  • Tablo görünümü—Sorgu sonuçları tablo biçiminde Microsoft Excel çalışma kitabı olarak dışarı aktarılır
  • Herhangi bir grafik—Sorgu sonuçları, işlenen grafiğin JPEG görüntüsü olarak dışarı aktarılır

Sonuçları filtreleme

Sorguyu çalıştırdıktan sonra sonuçları daraltmak için Filtre'yi seçin.

Gelişmiş avcılıktaki filtrelerin ekran görüntüsü.

Filtre eklemek için, onay kutularından birini veya daha fazlasını seçerek filtre uygulamak istediğiniz verileri seçin. Ardından Ekle'yi seçin.

Gelişmiş avcılıkta filtreler açılan listesinin ekran görüntüsü.

Yeni eklenen filtreyi seçerek sonuçları belirli verilere daha da daraltabilirsiniz.

Gelişmiş avcılıktaki yeni filtre hapının ekran görüntüsü.

Bu, daha fazla kullanabileceğiniz olası filtreleri gösteren bir açılan menü açar. Onay kutularından birini veya daha fazlasını seçin ve ardından Uygula'yı seçin.

Gelişmiş avcılıkta yeni filtre açılan listesinin ekran görüntüsü.

Filtreler bölümünü işaretleyerek istediğiniz filtreleri eklediğinizi onaylayın.

Gelişmiş avcılık eklenen filtrelerin ekran görüntüsü.

Sorgu sonuçlarından detaya gitme

Sonuçları aşağıdaki özelliklerle uyumlu olarak da inceleyebilirsiniz:

  • Her sonucun sol tarafındaki açılan oku seçerek sonucu genişletme
  • Uygun olduğunda, ek okunabilirlik için geçerli sütun adlarının sol tarafındaki açılan oku seçerek JSON ve dizi biçimlerindeki sonuçların ayrıntılarını genişletin
  • Bir kaydın ayrıntılarını görmek için yan bölmeyi açma (genişletilmiş satırlarla eşzamanlı)

Detaya gitmek için sonuçları genişletme ekran görüntüsü

Ayrıca satırdaki herhangi bir sonuç değerine sağ tıklayarak mevcut sorguya daha fazla filtre ekleyebilir veya değeri daha fazla araştırmada kullanmak üzere kopyalayabilirsiniz.

Bir seçeneğe sağ tıklanması üzerine seçeneklerin ekran görüntüsü

Ayrıca, JSON ve dizi alanları için, alanı dahil etmek veya dışlamak ya da alanı yeni bir sütuna genişletmek için var olan sorguya sağ tıklayıp güncelleştirebilirsiniz.

JSON ve dizi alanları için bir seçeneğe sağ tıklanması üzerine seçeneklerin ekran görüntüsü

Sorgu sonuçlarınızdaki bir kaydı hızla incelemek için ilgili satırı seçerek Kaydı incele panelini açın. Panel, seçili kayda göre aşağıdaki bilgileri sağlar:

  • Varlıklar—Kayıtta bulunan ana varlıkların (posta kutuları, cihazlar ve kullanıcılar) özetlenmiş görünümü, risk ve maruz kalma düzeyleri gibi kullanılabilir bilgilerle zenginleştirilmiştir
  • Tüm ayrıntılar—Kayıttaki sütunlardan gelen tüm değerler

Microsoft Defender portalında kaydı incelemek için panel içeren seçili kayıt

Sorgu sonuçlarınızda makine, dosya, kullanıcı, IP adresi veya URL gibi belirli bir varlık hakkında daha fazla bilgi görüntülemek için varlık tanımlayıcısını seçerek bu varlık için ayrıntılı bir profil sayfası açın.

Sorgularınızı sonuçlardan ayarlama

Kaydı incele panelinde herhangi bir sütunun sağındaki üç noktayı seçin. Aşağıdakileri yapmak için seçenekleri kullanabilirsiniz:

  • Seçili değeri== () açıkça arayın
  • Seçili değeri sorgunun dışında tutma (!=)
  • Sorgunuza değer eklemek için , starts withve gibi containsdaha gelişmiş işleçler edininends with

Microsoft Defender portalındaki Kaydı incele sayfasındaki Eylem Türü bölmesi

Not

Bu makaledeki bazı tablolar Uç Nokta için Microsoft Defender'de kullanılamayabilir. Daha fazla veri kaynağı kullanarak tehditleri avlamak için Microsoft Defender XDR açın. Gelişmiş tehdit avcılığı sorgularını Uç Nokta için Microsoft Defender'den geçirme bölümünde yer alan adımları izleyerek gelişmiş avcılık iş akışlarınızı Uç Nokta için Microsoft Defender'den Microsoft Defender XDR taşıyabilirsiniz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.