Sorgunuzu kılavuzlu modda geliştirme
Şunlar için geçerlidir:
- Microsoft Defender XDR
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Farklı veri türleri kullanma
Kılavuzlu modda gelişmiş avcılık, sorgunuzda ince ayar yapmak için kullanabileceğiniz çeşitli veri türlerini destekler.
Numara
Dize
Serbest metin kutusuna değeri yazın ve eklemek için Enter tuşuna basın. Değerler arasındaki sınırlayıcının Enter olduğunu unutmayın.
Boole
Datetime
Kapalı liste - Aradığınız değeri tam olarak hatırlamanız gerekmez. Çoklu seçimi destekleyen önerilen kapalı listeden kolayca seçim yapabilirsiniz.
Alt grupları kullanma
Alt grup ekle'ye tıklayarak koşul grupları oluşturabilirsiniz:
Arama için akıllı otomatik tamamlama kullanma
Cihazlarda ve kullanıcı hesaplarında arama için akıllı otomatik tamamlama desteklenir. Cihaz kimliğini, tam cihaz adını veya kullanıcı hesabı adını hatırlamanız gerekmez. Aradığınız cihazın veya kullanıcının ilk birkaç karakterini yazmaya başlayabilirsiniz ve ihtiyacınız olanı seçebileceğiniz önerilen bir liste görüntülenir:
Kullanın EventType
Hatta tüm başarısız oturum açma işlemleri, dosya değişikliği olayları veya başarılı ağ bağlantıları gibi belirli olay türlerini, uygun olduğu herhangi bir bölümde EventType filtresini kullanarak da arayabilirsiniz.
Örneğin, kayıt defteri değeri silmeleri için bir koşul eklemek isterseniz , Kayıt Defteri Olayları bölümüne gidip EventType'ı seçebilirsiniz.
Kayıt Defteri Olayları'nın altında EventType'ı seçtiğinizde, avladığınız olay olan RegistryValueDeleted dahil olmak üzere farklı kayıt defteri olayları arasından seçim yapabilirsiniz.
Not
EventType
, gelişmiş mod kullanıcılarının ActionType
daha aşina olabileceği veri şemasının eşdeğeridir.
Sorgunuzu daha küçük bir örnek boyutuyla test edin
Sorgunuz üzerinde çalışmaya devam ediyorsanız ve performansını ve bazı örnek sonuçları hızla görmek istiyorsanız, Örnek boyut açılan menüsünden daha küçük bir küme seçerek kayıt sayısını döndürecek şekilde ayarlayın.
Örnek boyutu varsayılan olarak 10.000 sonuç olarak ayarlanır. Bu, avlanmada döndürülebilecek maksimum kayıt sayısıdır. Bununla birlikte, sorgunuzu hızlı bir şekilde test etmek için örnek boyutunun 10 veya 100'e düşürülmesi önerilir. Bu işlem sorguyu geliştirmeye devam ederken daha az kaynak tüketir.
Ardından, sorgunuzu sonlandırdıktan ve tehdit avcılığı etkinliğiniz için tüm ilgili sonuçları almak için kullanmaya hazır olduğunuzda, örnek boyutunun en fazla 10 bin olarak ayarlandığından emin olun.
Sorguyu derledikten sonra gelişmiş moda geçme
Seçtiğiniz koşullar tarafından oluşturulan KQL sorgusunu görüntülemek için KQL'de Düzenle'ye tıklayabilirsiniz. KQL'de düzenleme, ilgili KQL sorgusuyla birlikte gelişmiş modda yeni bir sekme açar:
Yukarıdaki örnekte, seçilen görünüm Tümü'dür, bu nedenle KQL sorgusunun ad ve SHA256 dosya özelliklerine sahip tüm tablolarda ve bu özellikleri kapsayan tüm ilgili sütunlarda arama gerçekleştirdiğini görebilirsiniz.
Görünümü e-postalar & işbirliği olarak değiştirirseniz, sorgu şu şekilde daraltılır:
Ayrıca bkz.
- Gelişmiş tehdit avcılığı kotaları ve kullanım parametreleri
- Doğru ayarlarla gelişmiş avcılık kapsamını genişletme
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin