Go hunt ile varlık veya olay bilgilerini hızla avla

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Go hunt eylemiyle, güçlü sorgu tabanlı gelişmiş tehdit avcılığı özelliklerini kullanarak olayları ve çeşitli varlık türlerini hızla araştırabilirsiniz. Bu eylem, seçilen olay veya varlıkla ilgili bilgileri bulmak için otomatik olarak bir gelişmiş tehdit avcılığı sorgusu çalıştırır.

Go av eylemi, Microsoft Defender XDR çeşitli bölümlerinde kullanılabilir. Bu eylem, olay veya varlık ayrıntıları görüntülendiğinde görüntülenebilir. Örneğin, aşağıdaki bölümlerden go hunt seçeneğini kullanabilirsiniz:

  • Olay sayfasında kullanıcılar, cihazlar ve bir olayla ilişkili diğer birçok varlık hakkındaki ayrıntıları gözden geçirebilirsiniz. Bir varlığı seçerken ek bilgiler ve bu varlık üzerinde gerçekleştirebileceğin çeşitli eylemler elde edersiniz. Aşağıdaki örnekte, posta kutusuyla ilgili ayrıntıları ve posta kutusu hakkında daha fazla bilgi için avlanma seçeneğini gösteren bir posta kutusu seçilmiştir.

    Microsoft Defender portalında Git av seçeneğini içeren Posta Kutuları sayfası

  • Olay sayfasında, Kanıt sekmesinin altındaki varlıkların listesine de erişebilirsiniz. Bu varlıklardan birinin seçilmesi, söz konusu varlık hakkında hızlı bir şekilde bilgi aramak için bir seçenek sağlar.

    Microsoft Defender portalındaki Olay sayfasında bir kanıt parçası için Git av seçeneği

  • Bir cihazın zaman çizelgesini görüntülerken, bu olayla ilgili ek bilgileri görüntülemek için zaman çizelgesinde bir olay seçebilirsiniz. Bir etkinlik seçildikten sonra, gelişmiş avcılıkta diğer ilgili olayları avlama seçeneğine sahip olursunuz.

    Microsoft Defender portalındaki Zaman Çizelgeleri sekmesindeki bir olayın sayfasındaki ilgili olayları avla seçeneği

Bir varlığı mı yoksa olayı mı seçtiğinize bağlı olarak, İlgili olaylarıavla veya Avla'yı seçtiğinizde farklı sorgular geçer.

Varlık bilgilerini sorgulama

Bir kullanıcı, cihaz veya başka bir varlık türü hakkında bilgi sorgulamak için go hunt kullanabilirsiniz; sorgu, bilgileri döndürmek için ilgili tüm şema tablolarını ilgili varlıkla ilgili olaylar için denetler. Sonuçları yönetilebilir durumda tutmak için sorgu şu şekildedir:

  • kapsamı, varlığı içeren son 30 gün içindeki en erken etkinlikle aynı zaman aralığına göre belirlenmiştir
  • olayla ilişkilendirildi.

Bir cihaz için go hunt sorgusu örneği aşağıda verilmiştir:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Desteklenen varlık türleri

Bu varlık türlerinden herhangi birini seçtikten sonra go hunt seçeneğini kullanabilirsiniz:

  • Aygıtları
  • kümeleri Email
  • Emails
  • Dosyalar
  • Gruplar
  • IP adresleri
  • Posta kutu -ları
  • Kullanıcılar
  • Url 'leri

Olay bilgilerini sorgulama

Zaman çizelgesi olayı hakkındaki bilgileri sorgulamak için go hunt kullanırken, sorgu seçilen olayın zamanı boyunca diğer olaylar için tüm ilgili şema tablolarını denetler. Örneğin, aşağıdaki sorgu, aynı cihazda aynı zaman aralığında gerçekleşen çeşitli şema tablolarındaki olayları listeler:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Sorguyu ayarlama

Sorgu dili hakkında bilgi sahibi olarak sorguyu tercihinize göre ayarlayabilirsiniz. Örneğin, zaman penceresinin boyutunu belirleyen bu satırı ayarlayabilirsiniz:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Daha ilgili sonuçlar elde etmek için sorguyu değiştirmenin yanı sıra şunları da yapabilirsiniz:

Not

Bu makaledeki bazı tablolar Uç Nokta için Microsoft Defender'de kullanılamayabilir. Daha fazla veri kaynağı kullanarak tehditleri avlamak için Microsoft Defender XDR açın. Gelişmiş tehdit avcılığı sorgularını Uç Nokta için Microsoft Defender'den geçirme bölümünde yer alan adımları izleyerek gelişmiş avcılık iş akışlarınızı Uç Nokta için Microsoft Defender'den Microsoft Defender XDR taşıyabilirsiniz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.