共用方式為

在 Microsoft Defender 中使用引導模式建置搜捕查詢

  • 發行項

適用於:

  • Microsoft Defender XDR

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

引導模式中的查詢產生器可讓分析師在不知道 KQL) 或數據架構 (Kusto 查詢語言 的情況下,製作有意義的搜捕查詢。 每一層體驗的分析師都可以使用查詢產生器來篩選過去 30 天內的數據,以尋找威脅、展開事件調查、對威脅數據執行數據分析,或專注於特定威脅區域。

分析師可以選擇要查看的數據集,以及要使用哪些篩選條件,將數據縮小到所需的範圍。

您可以 watch 這段影片,以取得引導式搜捕的概觀:

在產生器中開啟查詢

在 [ 進階搜捕 ] 頁面中,選取 [ 新建 ] 以開啟新的查詢索引卷標,然後選取 [在建立器中查詢]

引導模式查詢產生器的螢幕快照

這會帶您前往引導模式,然後您可以使用下拉功能表選取不同的元件來建構查詢。

指定要搜捕的數據網域

您可以選取查詢涵蓋的網域來控制搜捕的範圍:

引導模式查詢產生器網域下拉式清單的螢幕快照

選取 [全部 ] 包含您目前有權存取之所有網域的數據。 縮小至特定網域僅允許與該網域相關的篩選。

您可以自下列內容中選擇:

  • 所有網域 - 查看查詢中的所有可用數據。
  • 端點 - 查看 適用於端點的 Microsoft Defender 所提供的端點數據。
  • Email 和共同作業 - 若要查看 SharePoint、OneDrive 等電子郵件和共同作業應用程式數據;熟悉威脅總管使用者可以在這裡找到相同的數據。
  • 應用程式和身分識別 - 若要查看 Microsoft Defender for Cloud Apps 和 適用於身分識別的 Microsoft Defender 所提供的應用程式和身分識別數據;熟悉活動記錄的使用者可以在這裡找到相同的數據。
  • 雲端基礎結構 - 如雲端 Microsoft Defender 所提供的雲端基礎結構數據。
  • 曝光管理 - 查看 Microsoft 安全性暴露風險管理 所提供的曝光管理數據。

使用基本篩選

根據默認,引導式搜捕包含一些基本篩選條件,可讓您快速入門。

引導模式查詢產生器基本篩選集的螢幕快照

當您選擇一個數據源時,例如 端點,查詢產生器只會顯示適用的篩選群組。 然後,您可以選取該篩選群組,例如 EventType,然後選取您選擇的篩選條件,以選擇您想要縮小的篩選條件。

引導模式查詢產生器端點基本篩選集的螢幕快照

查詢準備就緒后,請選取藍色的 [ 執行查詢] 按鈕。 如果按鈕呈現灰色,表示必須進一步填寫或編輯查詢。

注意事項

基本篩選檢視只會使用 AND 運算元,這表示執行查詢會產生所有已設定篩選條件為 true 的結果。

載入範例查詢

熟悉引導式搜捕的另一個快速方法是使用 [ 載入範例查詢 ] 下拉功能表載入範例查詢。 引導模式查詢產生器載入範例查詢清單的螢幕快照

注意事項

選取範例查詢會覆寫現有的查詢。

載入範例查詢之後,請選取 [ 執行查詢]

引導模式查詢產生器載入查詢的螢幕快照

如果您先前已選取網域,可用的範例查詢清單會據以變更。

引導模式查詢產生器限制清單的螢幕快照

若要還原範例查詢的完整清單,請選取 [ 所有網域] ,然後重新開啟 [載入範例查詢]

如果載入的範例查詢使用基本篩選集外部的篩選,則切換按鈕會呈現灰色。若要回到基本篩選集,請選取 [ 全部清除 ],然後切換 [ 所有篩選]

使用更多篩選

若要檢視更多篩選群組和條件,請選取 [切換] 以查看更多篩選條件

引導模式查詢產生器更多篩選切換的螢幕快照

當 [ 所有篩選] 切換為作用中時,您現在可以在引導模式中使用完整範圍的篩選條件。

引導模式查詢產生器所有作用中篩選器的螢幕快照

建立條件

若要指定要在查詢中使用的數據集,請選取 [選取篩選條件]。 探索不同的篩選區段,以尋找可供您使用的內容。

顯示您可以使用之不同篩選條件的螢幕快照

在清單頂端的搜尋方塊中輸入區段的標題,以尋找篩選條件。 以 資訊 結尾的區段包含篩選條件,提供您可以查看的不同元件相關信息,以及實體狀態的篩選。 以 事件 結尾的區段包含可讓您在實體上尋找任何受監視事件的篩選條件。 例如,若要搜捕涉及特定裝置的活動,您可以使用 [ 裝置事件 ] 區段下的篩選條件。

注意事項

選擇不在基本篩選清單中的篩選條件會停用或呈現灰色切換以返回基本篩選檢視。 若要重設查詢或移除目前查詢中的現有篩選,請選取 [ 全部清除]。 這也會重新啟用基本篩選清單。

接下來,設定適當的條件以進一步篩選數據,方法是從第二個下拉功能表中選取數據,並視需要在第三個下拉功能表中提供專案:

顯示您可以使用之不同條件的螢幕快照

您可以使用 ANDOR 條件,將更多條件新增至查詢。 AND 會傳回符合查詢中所有條件的結果,而 OR 會傳回符合查詢中任何條件的結果。

顯示 AND OR 運算子的螢幕快照

精簡查詢可讓您自動篩選大量記錄,以產生已針對特定威脅搜捕需求為目標的結果清單。

若要了解支援哪些數據類型,以及其他可協助您微調查詢的引導模式功能,請參閱 在引導模式中精簡查詢

嘗試範例查詢逐步解說

熟悉引導式搜捕的另一種方式是在引導模式中載入預先建立的範例查詢。

在搜捕頁面的 [ 開始使用 ] 區段中,我們提供了三個您可以載入的引導式查詢範例。 查詢範例包含您在搜捕時通常需要的一些最常見篩選和輸入。 載入三個範例查詢中的任何一個會開啟引導式導覽,以瞭解如何使用引導模式來建構專案。

引導模式查詢產生器開始使用查詢逐步解說的螢幕快照

請遵循藍色教學泡泡中的指示來建構您的查詢。 選取 [執行查詢]

嘗試一些查詢

搜捕特定IP的成功連線

若要搜尋特定IP位址的成功網路通訊,請開始輸入 「ip」 以取得建議的篩選條件:

引導模式查詢產生器搜捕特定IP第一個篩選器成功連線的螢幕快照

若要尋找涉及 IP 是通訊目的地之特定 IP 位址的事件,請在 [IP 位址事件] 區段下選取 DestinationIPAddress 。 然後選取 equals 運算 子。 在第三個下拉功能表中輸入IP,然後按 Enter

引導模式查詢產生器搜尋特定IP連線成功的螢幕快照

然後,若要新增搜尋成功網路通訊事件的第二個條件,請搜尋特定事件類型的篩選條件:

引導模式查詢產生器搜捕特定IP、第二個條件成功連線的螢幕快照

EventType 篩選器會尋找記錄的不同事件類型。 它相當於存在於進階搜捕中大部分數據表中的 ActionType 數據行。 選取它以選擇要篩選的一或多個事件類型。 若要尋找成功的網路通訊事件,請展開 DeviceNetworkEvents 區 段,然後選擇 ConnectionSuccess

引導模式查詢產生器搜尋特定IP第三個條件成功連線的螢幕快照

最後,選 取 [執行查詢 ] 以搜捕所有成功的網络通訊至 52.168.117.170 IP 位址:

引導模式查詢產生器搜尋成功連線至特定IP結果檢視的螢幕快照

搜捕傳遞至收件匣的高信賴度網路釣魚或垃圾郵件

若要尋找在傳遞時傳遞至收件匣資料夾的所有高信賴度網络釣魚和垃圾郵件電子郵件,請先選取 [Email 事件] 底下的 [ConfidenceLevel],選取 [等於],然後從支援多重選取的建議關閉清單中選擇 [網络釣魚] 和 [垃圾郵件] 底下的 []:

引導模式查詢產生器搜捕傳遞至收件匣的第一個條件的高信賴度網路釣魚或垃圾郵件電子郵件的螢幕快照

然後,新增另一個條件,這次指定資料夾或 DeliveryLocation、收件匣/資料夾

引導模式查詢產生器搜捕高信賴度網路釣魚或垃圾郵件傳遞至收件匣第二個條件的螢幕快照

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群