Microsoft Defender XDR'da kılavuzlu modu kullanarak tehdit avcılığı sorguları oluşturma

Şunlar için geçerlidir:

• Microsoft Defender XDR

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Kılavuzlu modda sorgu oluşturucu, analistlerin Kusto Sorgu Dili (KQL) veya veri şemasını bilmeden anlamlı avcılık sorguları oluşturmasına olanak tanır. Her deneyim katmanındaki analistler son 30 güne ait verileri filtrelemek, olay araştırmalarını genişletmek, tehdit verileri üzerinde veri analizi gerçekleştirmek veya belirli tehdit alanlarına odaklanmak için sorgu oluşturucusunu kullanabilir.

Analist, hangi veri kümesinin bakılıp hangi filtrelerin ve koşulların kullanılacağını seçerek verileri ihtiyaç duydukları değere daraltabilir.

Kılavuzlu avlanmaya genel bir bakış elde etmek için bu videoya watch:

Sorguyu oluşturucuda açma

Gelişmiş tehdit avcılığı sayfasında yeni İçerik Oluşturucu'ı seçerek yeni bir sorgu sekmesi açın ve Oluşturucuda sorgula'yı seçin.

Böylece, açılan menüleri kullanarak farklı bileşenler seçerek sorgunuzu oluşturabilirsiniz.

Avlanılacak veri etki alanını belirtin

Sorgunun hangi etki alanını kapsadığını seçerek avın kapsamını denetleyebilirsiniz:

Tümü seçildiğinde şu anda erişiminiz olan tüm etki alanlarındaki veriler bulunur. Belirli bir etki alanıyla daraltmak, yalnızca bu etki alanıyla ilgili filtrelere izin verir.

Şu seçimlerden birini yapabilirsiniz:

• Tüm etki alanları - sorgunuzdaki tüm kullanılabilir verilere göz atmak için
• Uç noktalar - Uç Nokta için Microsoft Defender tarafından sağlanan uç nokta verilerine göz atmak için
• Uygulamalar ve kimlikler - Microsoft Defender for Cloud Apps ve Kimlik için Microsoft Defender tarafından sağlanan uygulama ve kimlik verilerine göz atmak için; Etkinlik günlüğü hakkında bilgi sahibi olan kullanıcılar aynı verileri burada bulabilir
• Email ve işbirliği - SharePoint, OneDrive ve diğerleri gibi e-posta ve işbirliği uygulamaları verilerine bakmak için; Tehdit Gezgini'ni bilen kullanıcılar aynı verileri burada bulabilir

Temel filtreleri kullanma

Varsayılan olarak, rehberli avcılık hızlı bir şekilde başlamanızı sağlamak için birkaç temel filtre içerir.

Örneğin Uç Noktalar gibi bir veri kaynağı seçtiğinizde sorgu oluşturucusu yalnızca geçerli filtre gruplarını görüntüler. Daha sonra, daraltmayla ilgilendiğiniz bir filtreyi, örneğin EventType filtresini seçerek ve tercih ettiğiniz filtreyi seçerek seçebilirsiniz.

Sorgu hazır olduktan sonra mavi Sorguyu çalıştır düğmesini seçin. Düğme gri görünüyorsa, sorgunun doldurulması veya daha fazla düzenlenmesi gerektiği anlamına gelir.

Not

Temel filtre görünümü yalnızca AND işlecini kullanır, yani sorgu çalıştırıldığında tüm ayarlanan filtrelerin doğru olduğu sonuçlar oluşturulur.

Örnek sorguları yükleme

Kılavuzlu avcılık hakkında bilgi edinmenin bir diğer hızlı yolu da Örnek sorguları yükle açılan menüsünü kullanarak örnek sorguları yüklemektir.

Not

Örnek sorgu seçildiğinde mevcut sorgu geçersiz kılınıyor.

Örnek sorgu yüklendikten sonra Sorguyu çalıştır'ı seçin.

Daha önce bir etki alanı seçtiyseniz, kullanılabilir örnek sorguların listesi buna göre değişir.

Örnek sorguların tam listesini geri yüklemek için Tüm etki alanları'nı seçin ve Örnek sorguları yükle'yi yeniden açın.

Yüklenen örnek sorgu temel filtre kümesinin dışındaki filtreleri kullanıyorsa iki durumlu düğme gri görünür. Temel filtre kümesine dönmek için Tümünü temizle'yi seçip Tüm filtreler'i değiştirin.

Daha fazla filtre kullanma

Daha fazla filtre grubunu ve koşulu görüntülemek için, daha fazla filtre ve koşul görmek için Geçiş'i seçin.

Tüm filtreler iki durumlu düğmesi etkin olduğunda, artık kılavuzlu modda tam filtre ve koşul aralığını kullanabilirsiniz.

İçerik Oluşturucu koşulları

Sorguda kullanılacak bir veri kümesini belirtmek için Filtre seçin'i seçin. Kullanabileceğiniz öğeleri bulmak için farklı filtre bölümlerini keşfedin.

Filtreyi bulmak için listenin en üstündeki arama kutusuna bölümün başlıklarını yazın. Bilgilerle biten bölümler, bakabileceğiniz farklı bileşenler hakkında bilgi sağlayan filtreler ve varlıkların durumları için filtreler içerir. Olaylarla biten bölümler, varlıkta izlenen herhangi bir olayı aramanıza olanak sağlayan filtreler içerir. Örneğin, belirli cihazlarla ilgili etkinlikleri avlamak için Cihaz olayları bölümündeki filtreleri kullanabilirsiniz.

Not

Temel filtreler listesinde olmayan bir filtre seçildiğinde, temel filtreler görünümüne dönmek için iki durumlu düğme devre dışı bırakılır veya gri görünür. Sorguyu sıfırlamak veya geçerli sorgudaki mevcut filtreleri kaldırmak için Tümünü temizle'yi seçin. Bu, temel filtreler listesini de yeniden etkinleştirir.

Ardından, ikinci açılan menüden seçerek ve gerekirse üçüncü açılan menüde girdiler sağlayarak verileri daha fazla filtrelemek için uygun koşulu ayarlayın:

VE ve OR koşullarını kullanarak sorgunuza daha fazla koşul ekleyebilirsiniz. AND, sorgudaki tüm koşulları yerine getiren sonuçlar döndürürken OR, sorgudaki koşulların herhangi birini karşılayan sonuçlar döndürür.

Sorgunuzu iyileştirmeniz, belirli tehdit avcılığı ihtiyacınıza yönelik bir sonuç listesi oluşturmak için hacimli kayıtları otomatik olarak gözden geçirmenizi sağlar.

Hangi veri türlerinin desteklendiği ve sorgunuzda ince ayar yapmanızı sağlayacak diğer destekli mod özelliklerini öğrenmek için Bkz. Sorgunuzu kılavuzlu modda iyileştirme.

Örnek sorgu adım adım kılavuzlarını deneyin

Destekli avcılık hakkında bilgi edinmenin bir diğer yolu da kılavuzlu modda önceden oluşturulmuş örnek sorguları yüklemektir.

Tehdit avcılığı sayfasının Başlarken bölümünde yükleyebileceğiniz üç destekli sorgu örneği sağladık. Sorgu örnekleri, genellikle avcılığınızda ihtiyacınız olan en yaygın filtrelerden ve girişlerden bazılarını içerir. Üç örnek sorgudan herhangi birinin yüklenmesi, destekli modu kullanarak girişi nasıl oluşturabileceğinize ilişkin kılavuzlu bir tur açar.

Sorgunuzu oluşturmak için mavi öğretim kabarcıklarındaki yönergeleri izleyin. Sorguyu çalıştır'ı seçin.

Bazı sorguları deneyin

Belirli IP'ye başarılı bağlantılar ara

Belirli bir IP adresiyle başarılı ağ iletişimlerini aramak için önerilen filtreleri almak için "ip" yazmaya başlayın:

IP'nin iletişimin hedefi olduğu belirli bir IP adresini içeren olayları aramak için, IP Adresi Olayları bölümünün altında öğesini seçin DestinationIPAddress . Ardından equals işlecini seçin. Üçüncü açılan menüye IP yazın ve Enter tuşuna basın:

Ardından, başarılı ağ iletişim olaylarını arayan ikinci bir koşul eklemek için belirli bir olay türünün filtresini arayın:

EventType filtresi, günlüğe kaydedilen farklı olay türlerini arar. Gelişmiş avcılık tablolarının çoğunda bulunan ActionType sütununa eşdeğerdir. Filtre uygulamak üzere bir veya daha fazla olay türü seçmek için bunu seçin. Başarılı ağ iletişim olaylarını aramak için DeviceNetworkEvents bölümünü genişletin ve ardından öğesini seçin ConnectionSuccess:

Son olarak, 52.168.117.170 IP adresine yapılan tüm başarılı ağ iletişimlerini aramak için Sorguyu çalıştır'ı seçin:

Gelen kutusuna teslim edilen yüksek güvenilirlikli kimlik avı veya istenmeyen posta e-postaları arayın

Teslim sırasında gelen kutusu klasörüne teslim edilen tüm yüksek güvenilirlikli kimlik avı ve istenmeyen posta e-postalarını aramak için önce olaylar Email altında ConfidenceLevel öğesini seçin, eşittir'i seçin ve çoklu seçimi destekleyen önerilen kapalı listeden Hem Kimlik Avı hem de İstenmeyen Posta altında Yüksek'i seçin:

Ardından, bu kez klasörü veya DeliveryLocation, Gelen Kutusu/klasörü belirterek başka bir koşul ekleyin.

Ayrıca bkz.

• Sorgunuzu kılavuzlu modda geliştirme
• Sorgu sonuçlarıyla kılavuzlu modda çalışma
• Şemayı anlayın

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.