获取高级搜寻方面的专家培训
适用于:
- Microsoft Defender XDR
通过 跟踪攻击者快速提高高级搜寻知识,这是面向新安全分析师和经验丰富的威胁猎手的网络广播系列。 该系列将指导你完成创建自己的复杂查询的基础知识。 从第一个基础知识视频开始,或跳转到更高级的视频,以满足你的经验水平。
| 标题 | 说明 | Watch | 查询 |
|---|---|---|---|
| 第 1 集:KQL 基础知识 | 本集介绍了Microsoft Defender XDR高级狩猎的基础知识。 了解可用的高级搜寻数据以及基本的 KQL 语法和运算符。 | YouTube (54:14) | 文本文件 |
| 第 2 集:联接 | 继续了解高级搜寻中的数据以及如何将表联接在一起。 了解 inner、 outer、 unique和 semi 联接,并了解默认 Kusto innerunique 联接的细微差别。 |
YouTube (53:33) | 文本文件 |
| 第 3 集:汇总、透视和可视化数据 | 现在,你已了解如何筛选、操作和联接数据,接下来可以汇总、量化、透视和可视化。 本集讨论 summarize 运算符和各种计算,同时在架构中引入其他表。 你还将了解如何将数据集转换为有助于提取见解的图表。 |
YouTube (48:52) | 文本文件 |
| 第 4 集:让我们去搜寻! 将 KQL 应用于事件跟踪 | 在本集中,你将了解如何跟踪一些攻击者活动。 我们使用对 Kusto 和高级搜寻的改进理解来跟踪攻击。 了解该领域使用的实际技巧,包括网络安全的 ABC 以及如何将它们应用于事件响应。 | YouTube (59:36) | 文本文件 |
通过L33TSP3AK获取更多专家培训:Microsoft Defender XDR高级搜寻,这是一个网络广播系列,面向希望扩展其技术知识和实践技能的分析师,以使用Microsoft Defender XDR中的高级搜寻进行安全调查。
| 标题 | 说明 | Watch | 查询 |
|---|---|---|---|
| 第 1 集 | 在本集中,你将了解运行高级搜寻查询的不同最佳做法。 涵盖的主题包括:如何优化查询、使用高级搜寻勒索软件、将 JSON 作为动态类型进行处理,以及使用外部数据运算符。 | YouTube (56:34) | 文本文件 |
| 第 2 集 | 在本集中,你将了解如何通过收件箱转发规则调查和响应可疑或异常登录位置和数据外泄。 Cloud Security CxE 高级项目经理 Sebastien Molendijk 分享了如何使用高级搜寻来调查包含Microsoft Defender for Cloud Apps数据的多阶段事件。 | youTube (57:07) | 文本文件 |
| 第 3 集 | 在本集中,我们将介绍高级搜寻的最新改进、如何将外部数据源导入查询,以及如何使用分区将大型查询结果分段为较小的结果集以避免达到 API 限制。 | youTube (40:59) | 文本文件 |
如何使用 CSL 文件
开始剧集之前,访问 GitHub 上的相应文本文件 ,并将其内容复制到高级搜寻查询编辑器。 watch剧集时,可以使用复制的内容来跟踪说话人并运行查询。
包含查询的文本文件的以下摘录显示了一组使用 标记为注释 //的综合性指南。
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
同一文本文件包括注释前后的查询,如下所示。 若要 在编辑器中使用多个查询运行特定查询,请将光标移动到该查询,然后选择“ 运行查询”。
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
其他资源
| 标题 | 说明 | Watch |
|---|---|---|
| 在 KQL 中联接表 | 了解联接表在创建有意义的结果方面的强大功能。 | youTube (4:17) |
| 优化 KQL 中的表 | 了解如何通过优化查询来避免运行复杂查询时超时。 | YouTube (5:38) |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。