通过

使用 go 搜寻快速搜寻实体或事件信息

  • 项目

适用于:

  • Microsoft Defender XDR

借助 go 搜寻 操作,可以使用基于查询的强大 高级搜寻 功能快速调查事件和各种实体类型。 此操作会自动运行高级搜寻查询,以查找有关所选事件或实体的相关信息。

go 搜寻操作在Microsoft Defender XDR的各个部分中提供。 此操作可在显示事件或实体详细信息后查看。 例如,可以使用以下部分中的 go 搜寻 选项:

  • 事件页中,可以查看有关用户、设备以及与事件关联的许多其他实体的详细信息。 选择实体时,你将获得其他信息以及可对该实体执行的各种操作。 在下面的示例中,选择了一个邮箱,其中显示了有关邮箱的详细信息,以及用于搜索有关邮箱的详细信息的选项。

    Microsoft Defender门户中包含“搜索”选项的“邮箱”页

  • 在事件页中,还可以访问“ 证据 ”选项卡下的实体列表。选择其中一个实体提供了一个选项来快速搜索有关该实体的信息。

    Microsoft Defender门户中的“事件”页中证据的“Go 搜寻”选项

  • 查看设备的时间线时,可以在时间线中选择一个事件,以查看有关该事件的其他信息。 选择事件后,可以选择在高级搜寻中搜寻其他相关事件。

    Microsoft Defender门户的“时间线”选项卡中事件页面上的“搜寻相关事件”选项

选择 “搜索 ”或 “搜寻相关事件 ”将传递不同的查询,具体取决于你选择了实体还是事件。

查询实体信息

可以使用 go 搜寻 来查询有关用户、设备或任何其他实体类型的信息;查询检查所有相关架构表是否涉及该实体的任何事件以返回信息。 为使结果易于管理,查询为:

  • 范围与过去 30 天内涉及实体的最早活动大致在同一时间段内
  • 与事件关联。

下面是设备的 go 搜寻查询示例:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

支持的实体类型

选择以下任一实体类型后,可以使用 go 搜寻 选项:

  • 设备
  • Email群集
  • 电子邮件
  • 文件
  • IP 地址
  • 邮箱
  • 用户
  • URL

查询事件信息

使用 go 搜寻查询有关时间线事件的信息时,该查询会在所选事件发生时检查所有相关架构表是否存在其他事件。 例如,以下查询列出了同一台设备上大约在同一时间段内发生的各种架构表中的事件:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

调整查询

了解 查询语言后,可以根据自己的偏好调整查询。 例如,可以调整此行,该行确定时间窗口的大小:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

除了修改查询以获取更相关的结果外,还可以:

注意

本文中的某些表在 Microsoft Defender for Endpoint 中可能不可用。 启用Microsoft Defender XDR,以使用更多数据源搜寻威胁。 可以按照从 Microsoft Defender for Endpoint 迁移高级搜寻查询中的步骤,将高级搜寻工作流从 Microsoft Defender for Endpoint 移动到 Microsoft Defender XDR

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区