通过

在引导模式下优化查询

  • 项目

适用于:

  • Microsoft Defender XDR

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

使用不同的数据类型

引导模式下的高级搜寻支持多种数据类型,可用于微调查询。

  • 数字
    数字作为第三个条件的屏幕截图

  • 字符串
    字符串作为第三个条件的屏幕截图

    在自由文本框中,键入值,然后按 Enter 添加该值。 请注意,值之间的分隔符为 Enter

    显示可以使用的不同条件的屏幕截图

  • 布尔值
    布尔值作为第三个条件的屏幕截图

  • Datetime
    日期/时间值作为第三个条件的屏幕截图

  • 已关闭列表 - 无需记住要查找的确切值。 可以从支持多选的建议封闭列表中进行选择。
    用作第三个条件的已关闭列表的屏幕截图

使用子组

可以通过单击“ 添加子组”创建条件组:

突出显示“添加子组”按钮的屏幕截图

显示使用子组的屏幕截图

支持搜索设备和用户帐户的智能自动完成。 无需记住设备 ID、完整设备名称或用户帐户名称。 你可以开始键入要查找的设备或用户的前几个字符,并显示一个建议列表,你可以从中选择所需的内容:

显示智能自动完成支持的屏幕截图

使用 EventType

甚至可以在任何适用的部分中使用 EventType 筛选器查找特定事件类型,例如所有失败的登录、文件修改事件或成功的网络连接。

例如,如果要添加用于查找注册表值删除的条件,可以转到 “注册表事件” 部分并选择“ EventType”。

各种 EventType 的屏幕截图

选择“注册表事件”下的“EventType”可以从不同的注册表事件中进行选择,包括要查找的事件 RegistryValueDeleted

EventType RegistryValueDeleted 的屏幕截图

注意

EventType 在数据架构中等效 ActionType ,高级模式的用户可能更熟悉这些数据架构。

使用较小的样本大小测试查询

如果仍在处理查询,并且想要快速查看其性能和一些示例结果,请通过“ 样本大小 ”下拉菜单选择较小的集来调整要返回的记录数。

示例大小下拉菜单的屏幕截图

默认情况下,样本大小设置为 10,000 个结果。 这是在搜寻中可返回的最大记录数。 但是,我们强烈建议将样本大小降低到 10 或 100,以快速测试查询,因为这样做会消耗更少的资源,而你仍在改进查询。

然后,完成查询并准备好使用它来获取搜寻活动的所有相关结果后,请确保样本大小设置为 10k(最大值)。

生成查询后切换到高级模式

可以单击“ 在 KQL 中编辑 ”,查看所选条件生成的 KQL 查询。 在 KQL 中编辑会在高级模式下打开一个新选项卡,其中包含相应的 KQL 查询:

突出显示“在 KQL 中编辑”按钮的屏幕截图

显示从引导到高级的相同查询的屏幕截图

在上面的示例中,所选视图为“全部”,因此可以看到 KQL 查询搜索具有 name 和 SHA256 文件属性的所有表,以及涵盖这些属性的所有相关列中。

如果将视图更改为 电子邮件 & 协作,查询将缩小到:

显示从引导到高级但域有限的相同查询的屏幕截图

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区