Gelişmiş tehdit avcılığı sorgu dilini öğrenme

  • Makale

Not

Microsoft Defender XDR’yi denemek mi istiyorsunuz? Microsoft Defender XDR'yi değerlendirme ve denemehakkında daha fazla bilgi edinin.

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Gelişmiş avcılık , Kusto sorgu dilini temel alır. Kusto işleçlerini ve deyimlerini kullanarak özel bir şemadaki bilgileri bu alan sorgular oluşturabilirsiniz.

Bazı kullanışlı Kusto sorgu dili temel bilgilerini öğrenmek için bu kısa videoyu izleyin.

Bu kavramları daha iyi anlamak için ilk sorgunuzu çalıştırın.

İlk sorgunuzu deneyin

Microsoft Defender portalında, ilk sorgunuzu çalıştırmak için Avcılık'a gidin. Aşağıdaki örneği kullanın:

// Finds PowerShell execution events that could involve a download
union DeviceProcessEvents, DeviceNetworkEvents
| where Timestamp > ago(7d)
// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")
// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
 "DownloadFile",
 "DownloadData",
 "DownloadString",
"WebRequest",
"Shellcode",
"http",
"https")
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp

Bu sorguyu gelişmiş avcılıkta çalıştırın

Sorgunun ne için olduğunu açıklamak için sorgunun başına kısa bir açıklama eklenmiştir. Bu açıklama, daha sonra sorguyu kaydetmeye ve kuruluşunuzdaki diğer kişilerle paylaşmaya karar vermenize yardımcı olur.

// Finds PowerShell execution events that could involve a download

Sorgunun kendisi genellikle bir tablo adıyla başlar ve ardından bir kanalla (| ile başlayan birkaç öğe gösterilir). Bu örnekte, iki tablo DeviceProcessEvents ve öğesinin birleşimini oluşturarak başlayacağız ve DeviceNetworkEventsgerektiğinde kanallı öğeler ekleyeceğiz.

union DeviceProcessEvents, DeviceNetworkEvents

Zaman aralığını ayarlama

İlk kanallı öğe, kapsamı önceki yedi güne göre belirlenmiş bir zaman filtresidir. Zaman aralığını sınırlamak sorguların iyi performans göstermesini, yönetilebilir sonuçlar döndürmesini ve zaman aşımına neden olmamasını sağlamaya yardımcı olur.

| where Timestamp > ago(7d)

Not

Kusto saat filtreleri , ayarlarınızda belirttiğiniz saat diliminden bağımsız olarak UTC cinsindendir.

Belirli işlemleri denetleme

Zaman aralığı hemen ardından PowerShell uygulamasını temsil eden işlem dosyası adları araması yapılır.

// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")

Belirli komut dizeleri için Arama

Daha sonra sorgu, genellikle PowerShell kullanarak dosyaları indirmek için kullanılan komut satırlarındaki dizeleri arar.

// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
    "DownloadFile",
    "DownloadData",
    "DownloadString",
    "WebRequest",
    "Shellcode",
    "http",
    "https")

Sonuç sütunlarını ve uzunluğunu özelleştirme

Artık sorgunuz bulmak istediğiniz verileri net bir şekilde tanımladığınıza göre sonuçların nasıl görüneceğini tanımlayabilirsiniz. project belirli sütunları döndürür ve top sonuç sayısını sınırlar. Bu işleçler, sonuçların iyi biçimlendirildiğinden, makul ölçüde büyük ve işlenmesi kolay olduğundan emin olunmasını sağlar.

| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp

Sonuçları görmek için Sorguyu çalıştır'ı seçin.

İpucu

Sorgu sonuçlarını grafik olarak görüntüleyebilir ve filtreleri hızla ayarlayabilirsiniz. Yönergeler için sorgu sonuçlarıyla çalışma hakkında bilgi edinin

Yaygın sorgu işleçlerini öğrenme

İlk sorgunuzu çalıştırdıktan sonra bileşenleri hakkında genel bir fikir edindiniz. Biraz geri dönüş yapıp bazı temel bilgileri öğrenmenin zamanı geldi. Gelişmiş avcılık tarafından kullanılan Kusto sorgu dili, aşağıdaki yaygın olanlar da dahil olmak üzere çeşitli işleçleri destekler.

Işleç Açıklama ve kullanım
where Bir tabloyu koşula uyan satırların alt kümesine göre filtreleyin.
summarize Giriş tablosunun içeriğini toplayan bir tablo oluşturma.
join Her tablodan belirtilen sütunların değerlerini eşleştirerek yeni bir tablo oluşturmak için iki tablonun satırlarını birleştirin. Nasıl yapılacağını öğrenmek için KQL'de tabloları birleştirme bölümünü izleyin.
count Giriş kaydı kümesindeki kayıt sayısını döndürür.
top Belirtilen sütunlara göre sıralanmış ilk N kayıtlarını döndürür.
limit Belirtilen satır sayısına kadar geri dönün.
project Eklenecek sütunları seçin, yeniden adlandırın veya bırakın ve yeni hesaplanan sütunlar ekleyin.
extend Hesaplanmış sütunlar oluşturun ve bunları sonuç kümesine ekler.
makeset İfade'nin grupta aldığı ayrı değerler kümesinin dinamik (JSON) dizisini döndürür.
find Bir tablo kümesinde koşulla eşleşen satırları bulun.

Bu işleçlerin canlı bir örneğini görmek için bunları gelişmiş avcılıktaki Kullanmaya başlama bölümünden çalıştırın.

Veri türlerini anlama

Gelişmiş avcılık, aşağıdaki yaygın türler de dahil olmak üzere Kusto veri türlerini destekler:

Veri türü Açıklama ve sorgu etkileri
datetime Veri ve zaman bilgileri genellikle olay zaman damgalarını temsil eder. Desteklenen tarih saat biçimlerine bakın
string UTF-8'de tek tırnak () veya çift tırnak ('") içine alınmış karakter dizesi. Dizeler hakkında daha fazla bilgi edinin
bool Bu veri türü veya false durumlarını desteklertrue. Desteklenen değişmez değerlere ve işleçlere bakın
int 32 bit tamsayı
long 64 bit tamsayı

Bu veri türleri hakkında daha fazla bilgi edinmek için Kusto skaler veri türleri hakkında bilgi edinin.

Sorgu yazarken yardım alma

Sorguları daha hızlı yazmak için aşağıdaki işlevlerden yararlanın:

  • Otomatik öneri: Sorgu yazarken gelişmiş avcılık, IntelliSense'ten öneriler sağlar.
  • Şema ağacı; çalışma alanınızın yanında tabloların ve sütunlarının listesini içeren bir şema gösterimidir. Daha fazla bilgi için bir öğenin üzerine gelin. Bir öğeyi sorgu düzenleyicisine eklemek için çift tıklayın.
  • Şema başvurusu— tablo ve sütun açıklamalarının yanı sıra desteklenen olay türleri (ActionType değerler) ve örnek sorgularla portal içi başvuru

Düzenleyicide birden çok sorguyla çalışma

Birden çok sorguyla deneme yapmak için sorgu düzenleyicisini kullanabilirsiniz. Birden çok sorgu kullanmak için:

  • Her sorguyu boş bir satırla ayırın.
  • Çalıştırmadan önce sorguyu seçmek için imleci sorgunun herhangi bir bölümüne getirin. Bu işlem yalnızca seçili sorguyu çalıştırır. Başka bir sorgu çalıştırmak için imleci uygun şekilde hareket ettirin ve Sorguyu çalıştır'ı seçin.

Microsoft Defender portalındaki **Yeni sorgu** sayfasında birden çok sorgu yürütme örneği

Daha verimli bir çalışma alanı için aynı avlanma sayfasında birden çok sekme de kullanabilirsiniz. Yeni sorgunuz için bir sekme açmak için Yeni sorgu'yu seçin.

Microsoft Defender portalında Gelişmiş avcılıkta yeni oluştur'u seçerek yeni bir sekme açma

Daha sonra yeni bir tarayıcı sekmesi açmadan farklı sorgular çalıştırabilirsiniz.

Microsoft Defender portalındaki gelişmiş tehdit avcılığı sayfasından çıkmadan farklı sorgular çalıştırma

Not

Gelişmiş avcılık ile birden çok tarayıcı sekmesi kullanmak kaydedilmemiş sorgularınızı kaybetmenize neden olabilir. Bunun olmasını önlemek için, ayrı tarayıcı sekmeleri yerine gelişmiş avcılık içindeki sekme özelliğini kullanın.

Örnek sorguları kullanma

Kullanmaya başlama bölümü, yaygın olarak kullanılan işleçleri kullanan birkaç basit sorgu sağlar. Bu sorguları çalıştırmayı ve küçük değişiklikler yapmayı deneyin.

Microsoft Defender portalının **Gelişmiş avcılık** sayfasındaki **Başlarken** bölümü

Not

Temel sorgu örneklerinin dışında, belirli tehdit avcılığı senaryoları için paylaşılan sorgulara da erişebilirsiniz. Sayfanın veya GitHub sorgu deposunun sol tarafındaki paylaşılan sorguları keşfedin.

Sorgu dili belgelerine erişme

Kusto sorgu dili ve desteklenen işleçler hakkında daha fazla bilgi için kusto sorgu dili belgelerine bakın.

Not

Bu makaledeki bazı tablolar Uç Nokta için Microsoft Defender'de kullanılamayabilir. Daha fazla veri kaynağı kullanarak tehditleri avlamak için Microsoft Defender XDR açın. Gelişmiş tehdit avcılığı sorgularını Uç Nokta için Microsoft Defender'den geçirme bölümünde yer alan adımları izleyerek gelişmiş avcılık iş akışlarınızı Uç Nokta için Microsoft Defender'den Microsoft Defender XDR taşıyabilirsiniz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.