Sorgunuzu kılavuzlu modda geliştirme

Şunlar için geçerlidir:

• Microsoft Defender XDR

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Farklı veri türleri kullanma

Kılavuzlu modda gelişmiş avcılık, sorgunuzda ince ayar yapmak için kullanabileceğiniz çeşitli veri türlerini destekler.

• Numara
  

• Dize
  

  Serbest metin kutusuna değeri yazın ve eklemek için Enter tuşuna basın. Değerler arasındaki sınırlayıcının Enter olduğunu unutmayın.
  

  

• Boole
  

• Datetime
  

• Kapalı liste - Aradığınız değeri tam olarak hatırlamanız gerekmez. Çoklu seçimi destekleyen önerilen kapalı listeden kolayca seçim yapabilirsiniz.
  

Alt grupları kullanma

Alt grup ekle'ye tıklayarak koşul grupları oluşturabilirsiniz:

Arama için akıllı otomatik tamamlama kullanma

Cihazlarda ve kullanıcı hesaplarında arama için akıllı otomatik tamamlama desteklenir. Cihaz kimliğini, tam cihaz adını veya kullanıcı hesabı adını hatırlamanız gerekmez. Aradığınız cihazın veya kullanıcının ilk birkaç karakterini yazmaya başlayabilirsiniz ve ihtiyacınız olanı seçebileceğiniz önerilen bir liste görüntülenir:

Kullanın EventType

Hatta tüm başarısız oturum açma işlemleri, dosya değişikliği olayları veya başarılı ağ bağlantıları gibi belirli olay türlerini, uygun olduğu herhangi bir bölümde EventType filtresini kullanarak da arayabilirsiniz.

Örneğin, kayıt defteri değeri silmeleri için bir koşul eklemek isterseniz , Kayıt Defteri Olayları bölümüne gidip EventType'ı seçebilirsiniz.

Kayıt Defteri Olayları'nın altında EventType'ı seçtiğinizde, avladığınız olay olan RegistryValueDeleted dahil olmak üzere farklı kayıt defteri olayları arasından seçim yapabilirsiniz.

Not

EventType , gelişmiş mod kullanıcılarının ActionType daha aşina olabileceği veri şemasının eşdeğeridir.

Sorgunuzu daha küçük bir örnek boyutuyla test edin

Sorgunuz üzerinde çalışmaya devam ediyorsanız ve performansını ve bazı örnek sonuçları hızla görmek istiyorsanız, Örnek boyut açılan menüsünden daha küçük bir küme seçerek kayıt sayısını döndürecek şekilde ayarlayın.

Örnek boyutu varsayılan olarak 10.000 sonuç olarak ayarlanır. Bu, avlanmada döndürülebilecek maksimum kayıt sayısıdır. Bununla birlikte, sorgunuzu hızlı bir şekilde test etmek için örnek boyutunun 10 veya 100'e düşürülmesi önerilir. Bu işlem sorguyu geliştirmeye devam ederken daha az kaynak tüketir.

Ardından, sorgunuzu sonlandırdıktan ve tehdit avcılığı etkinliğiniz için tüm ilgili sonuçları almak için kullanmaya hazır olduğunuzda, örnek boyutunun en fazla 10 bin olarak ayarlandığından emin olun.

Sorguyu derledikten sonra gelişmiş moda geçme

Seçtiğiniz koşullar tarafından oluşturulan KQL sorgusunu görüntülemek için KQL'de Düzenle'ye tıklayabilirsiniz. KQL'de düzenleme, ilgili KQL sorgusuyla birlikte gelişmiş modda yeni bir sekme açar:

Yukarıdaki örnekte, seçilen görünüm Tümü'dür, bu nedenle KQL sorgusunun ad ve SHA256 dosya özelliklerine sahip tüm tablolarda ve bu özellikleri kapsayan tüm ilgili sütunlarda arama gerçekleştirdiğini görebilirsiniz.

Görünümü e-postalar & işbirliği olarak değiştirirseniz, sorgu şu şekilde daraltılır:

Ayrıca bkz.

• Gelişmiş tehdit avcılığı kotaları ve kullanım parametreleri
• Doğru ayarlarla gelişmiş avcılık kapsamını genişletme

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.