Příklad rozšířeného vyhledávání pro Microsoft Defender pro Office 365

  • Článek

Platí pro:

  • Microsoft Defender XDR

Chcete začít hledat e-mailové hrozby pomocí rozšířeného proaktivního vyhledávání? Vyzkoušejte tento postup:

Průvodce nasazením Microsoft Defender pro Office 365 vysvětluje, jak 1. den začít s konfigurací.

V závislosti na přednastavených zásadách zabezpečení a vlastních možnostech zásad je důležité vědět, jestli se po doručení z poštovní schránky neodebrala škodlivá zpráva.

Rychlá navigace do dotazovacího jazyka Kusto pro vyhledávání problémů je výhodou sblížení těchto dvou center zabezpečení. Bezpečnostní týmy můžou monitorovat chybějící zap tak, že podniknou další kroky na portálu Microsoft Defender v části https://security.microsoft.com>Rozšířené proaktivní vyhledávání>.

  1. Na stránce Rozšířené proaktivní vyhledávání na adrese https://security.microsoft.com/v2/advanced-huntingověřte, že je vybraná karta Nový dotaz .

  2. Do pole Dotaz zkopírujte následující dotaz:

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Vyberte Spustit dotaz.

Stránka Rozšířené proaktivní vyhledávání (v části Proaktivní vyhledávání) s vybranou možností Dotaz v horní části panelu dotazů a spuštěním dotazu Kusto zachytává akce ZAP za posledních sedm dnů.

Data z tohoto dotazu se zobrazí na panelu Výsledky pod samotným dotazem. Výsledky obsahují informace jako DeviceName, AccountDisplayNamea ZapTime v přizpůsobitelné sadě výsledků. Výsledky lze také exportovat pro vaše záznamy. Pokud chcete dotaz uložit pro opakované použití, vyberte Uložit>uložit jako a přidejte dotaz do seznamu dotazů, sdílených dotazů nebo dotazů komunity.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.