適用於 Office 365 的 Microsoft Defender 的進階搜捕範例
適用於:
- Microsoft Defender XDR
想要開始使用進階搜捕來搜尋電子郵件威脅嗎? 請嘗試下列步驟:
適用於 Office 365 的 Microsoft Defender 部署指南說明如何直接進入並在第 1 天開始進行設定。
根據您的 預設安全策略與自定義原則選項, 零時差自動清除 (ZAP) 設定對於知道在傳遞之後是否已從信箱中移除惡意訊息非常重要。
快速瀏覽至 Kusto 查詢語言以搜捕問題,是這兩個安全性中心交集的優點。 安全性小組可以在搜捕進階搜>捕的 Microsoft Defender 入口網站https://security.microsoft.com>中採取後續步驟來監視 ZAP 遺漏。
在 的 [進階搜捕] 頁面上https://security.microsoft.com/v2/advanced-hunting,確認已選取 [追加查詢] 索引標籤。
將下列查詢複製到 [查詢] 方塊中:
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType選取 [執行查詢]。
![[進階搜捕] 頁面 (在 [搜捕) ] 底下,並在查詢面板頂端選取 [查詢],然後執行 Kusto 查詢來擷取過去七天的 ZAP 動作。](/zh-tw/defender/media/ah-query-example-new.png)
來自此查詢的數據會出現在查詢本身下方的 [ 結果 ] 面板中。 結果會在可自定義的結果集中包含、
AccountDisplayName和ZapTime等DeviceName資訊。 也可以匯出結果做為記錄。 若要儲存查詢以供重複使用,請選取 [另存>新檔] 將查詢新增至查詢、共用或社群查詢清單。
![[進階搜捕] 頁面 (在 [搜捕) ] 底下,並在查詢面板頂端選取 [查詢],然後執行 Kusto 查詢來擷取過去七天的 ZAP 動作。](/zh-tw/defender/media/ah-query-example-new.png#lightbox)
相關資訊
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。