使用 Go 搜捕快速搜捕實體或事件資訊
適用於:
- Microsoft Defender XDR
使用 Go 搜捕 動作,您可以使用強大的查詢型進階 搜捕 功能,快速調查事件和各種實體類型。 此動作會自動執行進階搜捕查詢,以尋找所選事件或實體的相關信息。
go 搜尋動作可在 Microsoft Defender 全面偵測回應 的各個區段中取得。 顯示事件或實體詳細數據之後,即可檢視此動作。 例如,您可以使用下列各節中的 go搜尋 選項:
在 事件頁面中,您可以檢閱與事件相關聯之使用者、裝置和許多其他實體的詳細數據。 當您選取實體時,您會取得其他資訊,以及您可以對該實體採取的各種動作。 在下列範例中,已選取信箱,其中顯示信箱的詳細數據,以及搜尋信箱詳細信息的選項。
![Microsoft Defender 入口網站中具有 [Go 搜捕] 選項的信箱頁面](/zh-tw/defender/media/go-hunt-1-incident.png)
在事件頁面中,您也可以存取 [辨識項] 索引 卷標下的 實體清單。選取其中一個實體可讓您快速搜捕該實體的相關信息。
檢視裝置的時間軸時,您可以在時間軸中選取事件,以檢視該事件的其他相關信息。 選取事件之後,您可以選擇在進階搜捕中搜捕其他相關事件。
![Microsoft Defender 入口網站中 [時程表] 索引標籤中事件頁面上的 [搜捕相關事件] 選項](/zh-tw/defender/media/go-hunt-3-event.png)
![Microsoft Defender 入口網站中具有 [Go 搜捕] 選項的信箱頁面](/zh-tw/defender/media/go-hunt-1-incident.png#lightbox)
![Microsoft Defender 入口網站中 [時程表] 索引標籤中事件頁面上的 [搜捕相關事件] 選項](/zh-tw/defender/media/go-hunt-3-event.png#lightbox)
根據您是否已選取實體或事件,選取 [ 搜捕 ] 或 [搜捕相關事件 ] 會傳遞不同的查詢。
查詢實體資訊
您可以使用 go搜尋 來查詢使用者、裝置或任何其他類型的實體的相關信息;查詢會檢查所有相關的架構數據表,是否有任何涉及該實體的事件傳回資訊。 若要讓結果保持可管理,查詢為:
- 範圍大約與過去 30 天內涉及實體的最早活動的時間週期相同
- 與事件相關聯。
以下是裝置的 Go 搜尋查詢範例:
let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100
支援的實體類型
您可以在選取下列任何實體類型之後,使用 go 搜尋 選項:
- 裝置
- Email 叢集
- 電子郵件
- 檔案
- 群組
- IP 位址
- 信箱
- 使用者
- URL
查詢事件資訊
使用 go搜捕 來查詢時間軸事件的相關信息時,查詢會檢查所有相關的架構數據表,找出所選事件前後的其他事件。 例如,下列查詢會列出相同裝置上大約相同時段內發生的各種架構數據表中的事件:
// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance
調整查詢
有了 查詢語言的一些知識,您就可以將查詢調整為您的喜好設定。 例如,您可以調整這一行,這會決定時間範圍的大小:
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
除了修改查詢以取得更相關的結果之外,您也可以:
注意事項
本文中的某些數據表可能無法在 適用於端點的 Microsoft Defender 中使用。 開啟 Microsoft Defender 全面偵測回應,以使用更多數據源來搜捕威脅。 您可以遵循從 適用於端點的 Microsoft Defender 移轉進階搜捕查詢中的步驟,將進階搜捕工作流程從 適用於端點的 Microsoft Defender 移至 Microsoft Defender 全面偵測回應。
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。