分享方式:


在引導模式中縮小查詢的搜尋範圍

適用於:

  • Microsoft Defender XDR

重要事項

部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

使用不同的數據類型

引導模式中的進階搜捕支援數種可用來微調查詢的數據類型。

  • 數字
    數字作為第三個條件的螢幕快照

  • 字串
    字串作為第三個條件的螢幕快照

    在可用文字框中,輸入值,然後按 Enter 加以新增。 請注意,值之間的分隔符是 Enter

    顯示您可以使用之不同條件的螢幕快照

  • 布林值
    布爾值作為第三個條件的螢幕快照

  • Datetime
    第三個條件的日期時間值螢幕快照

  • 封閉式清單 - 您不需要記住您要尋找的確切值。 您可以輕鬆地從支援多重選取的建議關閉清單中選擇。
    作為第三個條件的已關閉清單螢幕快照

使用子群組

您可以按下 [ 新增子群組] 來建立條件群組:

醒目提示 [新增子群組] 按鈕的螢幕快照

顯示子群組使用方式的螢幕快照

支援智慧型手機自動完成搜尋裝置和用戶帳戶。 您不需要記住裝置識別碼、完整裝置名稱或使用者帳戶名稱。 您可以開始輸入您要尋找之裝置或使用者的前幾個字元,並顯示建議的清單,您可以從中選擇所需的專案:

顯示智慧型手機自動完成支援的螢幕快照

使用 EventType

您甚至可以在適用的任何區段中使用 EventType 篩選器,尋找特定的事件類型,例如所有失敗的登入、檔案修改事件或成功的網路連線。

例如,如果您想要新增尋找登錄值刪除的條件,您可以移至 [ 登錄事件 ] 區段並選取 [EventType]

各種 EventTypes 的螢幕快照

在 [登錄事件] 下選取 [EventType] 可讓您從不同的登錄事件中進行選擇,包括您要搜捕的登錄事件 RegistryValueDeleted

EventType RegistryValueDeleted 的螢幕快照

注意事項

EventType ActionType相當於數據架構中的 ,進階模式的使用者可能比較熟悉。

以較小的樣本大小測試您的查詢

如果您仍在處理查詢,而且想要快速查看其效能和一些範例結果,請透過 [範 例大小 ] 下拉功能表挑選較小的集合,以調整要傳回的記錄數目。

範例大小下拉功能表的螢幕快照

根據預設,範例大小會設定為10,000個結果。 這是可在搜捕中傳回的記錄數目上限。 不過,強烈建議您將樣本大小降低為10或100,以快速測試您的查詢,因為這樣做會耗用較少的資源,同時您仍在努力改善查詢。

然後,一旦您完成查詢並準備好使用它來取得搜捕活動的所有相關結果,請確定範例大小設定為 10k,最大值。

建置查詢之後切換至進階模式

您可以按下 [在 KQL 中編輯 ],以檢視所選條件所產生的 KQL 查詢。 在 KQL 中編輯會以進階模式開啟新的索引標籤,其中包含對應的 KQL 查詢:

醒目提示 [在 KQL 中編輯] 按鈕的螢幕快照

顯示從引導式到進階相同查詢的螢幕快照

在上述範例中,選取的檢視是 [全部],因此您可以看到 KQL 查詢會搜尋所有具有名稱和 SHA256 檔屬性的數據表,以及涵蓋這些屬性的所有相關數據行。

如果您將檢視變更為 [ 電子郵件 & 共同作業,查詢會縮小為:

顯示從引導式到進階,但網域有限之相同查詢的螢幕快照

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。