適用於 Office 365 的 Microsoft Defender 的進階搜捕範例

適用於：

• Microsoft Defender XDR

想要開始使用進階搜捕來搜尋電子郵件威脅嗎？ 請嘗試下列步驟：

適用於 Office 365 的 Microsoft Defender 部署指南說明如何直接進入，並在第 1 天開始進行設定。

根據您的 預設安全策略與自定義原則選項， 零時差自動清除 (ZAP) 設定對於知道在傳遞之後是否已從信箱中移除惡意訊息非常重要。

快速瀏覽至 Kusto 查詢語言以搜捕問題，是這兩個安全性中心交集的優點。 安全性小組可以在搜捕進階搜>捕的 Microsoft Defender 入口網站https://security.microsoft.com>中採取後續步驟來監視 ZAP 遺漏。

1. 在 的 [進階搜捕] 頁面上https://security.microsoft.com/v2/advanced-hunting，確認已選取 [追加查詢] 索引標籤。

2. 將下列查詢複製到 [查詢] 方塊中：

   EmailPostDeliveryEvents 
   | where Timestamp > ago(7d)
   //List malicious emails that were not zapped successfully
   | where ActionType has "ZAP" and ActionResult == "Error"
   | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
   //Get logon activity of recipients using RecipientEmailAddress and AccountUpn
   | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
   | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
   //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
   | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
   LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
   

3. 選取 [執行查詢]。

來自此查詢的數據會出現在查詢本身下方的 [ 結果 ] 面板中。 結果會在可自定義的結果集中包含、 AccountDisplayName和 ZapTime 等DeviceName資訊。 也可以匯出結果做為記錄。 若要儲存查詢以供重複使用，請選取 [另存>新檔] 將查詢新增至查詢、共用或社群查詢清單。

相關資訊

• 進階搜捕最佳做法
• 概觀 - 進階搜捕

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。