分享方式:

使用進階搜捕查詢結果

  • 文章
  • 適用於:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

雖然您可以建構 進階搜捕 查詢以傳回精確的資訊,但您也可以使用查詢結果來取得進一步的深入解析,並調查特定的活動和指標。 您可以對查詢結果採取下列動作:

  • 以數據表或圖表檢視結果
  • 匯出數據表和圖表
  • 向下切入至詳細的實體資訊
  • 直接從結果調整查詢

以數據表或圖表檢視查詢結果

根據預設,進階搜捕會將查詢結果顯示為表格式數據。 您也可以顯示與圖表相同的數據。 進階搜捕支援下列檢視:

檢視類型 描述
Table 以表格式格式顯示查詢結果
柱形圖 將 X 軸上一系列的唯一項目轉譯為垂直線,其高度代表來自另一個字段的數值
餅圖 呈現代表唯一專案的區段餅圖。 每個餅圖的大小代表來自另一個字段的數值。
折線圖 繪製一系列唯一項目的數值,並連接繪製的值
散佈圖 繪製一系列唯一項目的數值
分區圖 繪製一系列唯一項目的數值,並填入繪圖值下方的區段
堆疊分區圖 繪製一系列唯一項目的數值,並將填滿區段堆疊在繪製的值下方
時程圖表 依線性時間刻度依計數繪製值

建構有效圖表的查詢

轉譯圖表時,進階搜捕會自動識別感興趣的數據行和要匯總的數值。 若要取得有意義的圖表,請建構您的查詢,以傳回您想要看到可視化的特定值。 以下是一些範例查詢和產生的圖表。

依嚴重性的警示

使用運算 summarize 子來取得您想要繪製圖表之值的數值計數。 下列查詢會使用 運算 summarize 符,依嚴重性取得警示數目。

AlertInfo
| summarize Total = count() by Severity

轉譯結果時,柱形圖會將每個嚴重性值顯示為個別的數據行:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

在入口網站中顯示進階搜捕結果的圖表範例 Microsoft Defender

跨前十個發件者網域的網路釣魚電子郵件

如果您要處理的值清單不是有限的,則可以使用 Top 運算符,只繪製具有最多實例之值的圖表。 例如,若要取得具有最多網路釣魚電子郵件的前 10 名發件者網域,請使用下列查詢:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

使用餅圖檢視,有效地顯示跨最上層網域的分佈:

在入口網站中顯示進階搜捕結果的餅圖 Microsoft Defender

一段時間的檔案活動

使用 運算 summarize 子搭配 函 bin() 式,您可以檢查一段時間內涉及特定指標的事件。 下列查詢會以 30 分鐘間隔計算與檔案 invoice.doc 相關的事件,以顯示與該檔案相關的活動尖峰:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

下列折線圖會清楚醒目提示涉及更多活動 invoice.doc的時間週期:

在入口網站中顯示進階搜捕結果的折線圖 Microsoft Defender

匯出數據表和圖表

執行查詢之後,選取 [ 出] 將結果儲存至本機檔案。 您選擇的檢視會決定匯出結果的方式:

  • 數據表檢視— 查詢結果會以表格式形式匯出為Microsoft Excel 活頁簿
  • 任何圖表— 查詢結果會匯出為轉譯圖表的 JPEG 影像

篩選結果

執行查詢之後,選取 [篩選 ] 以縮小結果範圍。

進階搜捕中篩選的螢幕快照。

若要新增篩選,請選取一或多個複選框,以選取您想要篩選的數據。 然後選取 [新增]

進階搜捕中篩選下拉式清單的螢幕快照。

您可以選取新增的篩選條件,將結果縮小到更進一步的特定數據。

進階搜捕中新篩選條件的螢幕快照。

這會開啟下拉式清單,其中顯示您可以進一步使用的可能篩選。 選取一或多個複選框,然後選取 [ 套用]

進階搜捕中新篩選下拉式清單的螢幕快照。

檢查 [篩選] 區段,確認您已新增所需的篩選條件。

已新增進階搜捕的篩選器螢幕快照。

從查詢結果向下切入

您也可以使用下列功能來探索結果:

  • 選取每個結果左邊的下拉式箭號來展開結果
  • 如果適用,請選取適用數據行名稱左邊的下拉式箭號,以展開 JSON 和數位格式結果的詳細數據,以增加可讀性
  • 開啟側邊窗格,以查看記錄的詳細數據 (與展開的數據列並行)

展開結果以向下切入的螢幕快照

您也可以以滑鼠右鍵按兩下資料列中的任何結果值,以便使用它來將更多篩選新增至現有的查詢,或複製值以供進一步調查使用。

以滑鼠右鍵按下選項時的選項螢幕快照

此外,針對 JSON 和陣列欄位,您可以以滑鼠右鍵按鍵按下並更新現有的查詢,以包含或排除欄位,或將字段延伸至新的數據行。

以滑鼠右鍵按下 JSON 和數位欄位的選項螢幕快照

若要快速檢查查詢結果中的記錄,請選取對應的數據列以開啟 [檢查記錄] 面板。 面板會根據選取的記錄提供下列資訊:

  • 資產— 主要資產 (信箱、裝置和使用者的摘要檢視,) 記錄中找到,並以可用資訊擴充,例如風險和曝光層級
  • 所有詳細數據— 記錄中資料行的所有值

在入口網站中使用面板檢查記錄的選取記錄 Microsoft Defender

若要檢視查詢結果中特定實體的詳細資訊,例如計算機、檔案、使用者、IP 位址或 URL,請選取實體識別碼,以開啟該實體的詳細配置檔頁面。

從結果調整您的查詢

在 [ 檢查記錄 ] 面板中,選取任何數據行右邊的三個點。 您可以使用下列選項來執行這些動作:

  • 明確尋找選取的值 (==)
  • 從查詢排除選取的值 (!=)
  • 取得更進階的運算符,以將值新增至查詢,例如 containsstarts withends with

Microsoft Defender 入口網站中 [檢查記錄] 頁面上的 [動作類型] 窗格

注意事項

本文中的某些數據表可能無法在 適用於端點的 Microsoft Defender 取得。 開啟 Microsoft Defender 全面偵測回應,以使用更多數據源來搜捕威脅。 您可以遵循從 適用於端點的 Microsoft Defender 移轉進階搜捕查詢中的步驟,將進階搜捕工作流程從 適用於端點的 Microsoft Defender 移至 Microsoft Defender 全面偵測回應

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群