Vytváření dotazů proaktivního vyhledávání pomocí režimu s asistencí v Microsoft Defender XDR

Platí pro:

• Microsoft Defender XDR

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Tvůrce dotazů v režimu s asistencí umožňuje analytikům vytvářet smysluplné dotazy proaktivního vyhledávání bez znalosti dotazovací jazyk Kusto (KQL) nebo datového schématu. Analytici z každé úrovně prostředí můžou pomocí tvůrce dotazů filtrovat data z posledních 30 dnů a hledat hrozby, rozšiřovat vyšetřování incidentů, provádět analýzu dat o hrozbách nebo se zaměřit na konkrétní oblasti hrozeb.

Analytik si může vybrat, na kterou sadu dat se má podívat a které filtry a podmínky použije, aby data zúžila na to, co potřebuje.

Pokud chcete získat přehled o proaktivním vyhledávání s asistencí, můžete watch toto video:

Otevřít dotaz v tvůrci

Na stránce Rozšířené proaktivní vyhledávání vyberte Create nový. Otevře se nová karta dotazu a pak vyberte Dotaz v tvůrci.

Tím přejdete do režimu s asistencí, kde pak můžete vytvořit dotaz výběrem různých komponent pomocí rozevíracích nabídek.

Zadejte doménu dat, ve které se má lovit.

Rozsah proaktivního vyhledávání můžete řídit tak, že vyberete doménu, na kterou se dotaz vztahuje:

Výběr možnosti Vše zahrnuje data ze všech domén, ke kterým máte aktuálně přístup. Zúžení na konkrétní doménu umožňuje filtry relevantní pouze pro danou doménu.

Můžete si vybrat z:

• Všechny domény – zobrazení všech dostupných dat v dotazu
• Koncové body – umožňuje procházet data koncových bodů, která poskytuje Microsoft Defender for Endpoint
• Aplikace a identity – pokud chcete procházet data aplikací a identit, jak je poskytují Microsoft Defender for Cloud Apps a Microsoft Defender for Identity; uživatelé obeznámení s protokolem aktivit můžou najít stejná data tady.
• Email a spolupráce – umožňuje procházet data e-mailu a aplikací pro spolupráci, jako je SharePoint, OneDrive a další. Uživatelé obeznámení s Průzkumníkem hrozeb můžou najít stejná data tady.

Použití základních filtrů

Ve výchozím nastavení obsahuje proaktivní vyhledávání s asistencí několik základních filtrů, které vám pomůžou rychle začít.

Když zvolíte jeden zdroj dat, například Koncové body, tvůrce dotazů zobrazí pouze příslušné skupiny filtrů. Pak můžete vybrat filtr, který chcete zúžit, tak, že vyberete tuto skupinu filtrů, například EventType, a vyberete filtr podle svého výběru.

Jakmile bude dotaz připravený, vyberte modré tlačítko Spustit dotaz . Pokud je tlačítko neaktivní, znamená to, že dotaz je potřeba vyplnit nebo dále upravit.

Poznámka

Základní zobrazení filtru používá pouze operátor AND , což znamená, že spuštěním dotazu se vygenerují výsledky, pro které platí všechny nastavené filtry.

Načtení ukázkových dotazů

Dalším rychlým způsobem, jak se seznámit s proaktivním vyhledáváním s asistencí, je načtení ukázkových dotazů pomocí rozevírací nabídky Načíst ukázkové dotazy .

Poznámka

Výběrem ukázkového dotazu přepíšete existující dotaz.

Po načtení ukázkového dotazu vyberte Spustit dotaz.

Pokud jste dříve vybrali doménu, seznam dostupných ukázkových dotazů se odpovídajícím způsobem změní.

Pokud chcete obnovit úplný seznam ukázkových dotazů, vyberte Všechny domény a pak znovu otevřete Načíst ukázkové dotazy.

Pokud načtený ukázkový dotaz používá filtry mimo základní sadu filtrů, přepínací tlačítko se zobrazí šedě. Pokud se chcete vrátit k základní sadě filtrů, vyberte Vymazat vše a přepněte všechny filtry.

Použití dalších filtrů

Pokud chcete zobrazit další skupiny filtrů a podmínky, vyberte Přepnout a zobrazte další filtry a podmínky.

Když je přepínač Všechny filtry aktivní, můžete teď používat celou škálu filtrů a podmínek v režimu s asistencí.

Create podmínky

Pokud chcete zadat sadu dat, která se mají v dotazu použít, vyberte Vybrat filtr. Prozkoumejte různé oddíly filtrů a zjistěte, co máte k dispozici.

Zadejte názvy oddílů do vyhledávacího pole v horní části seznamu a vyhledejte filtr. Oddíly končící na informace obsahují filtry, které poskytují informace o různých komponentách, na které se můžete podívat, a filtry pro stavy entit. Oddíly končící na události obsahují filtry, které umožňují vyhledat všechny monitorované události v entitě. Například k vyhledávání aktivit zahrnujících určitá zařízení můžete použít filtry v části Události zařízení .

Poznámka

Výběrem filtru, který není v seznamu základních filtrů, se přepínač deaktivuje nebo zašedne, aby se vrátil do zobrazení základních filtrů. Pokud chcete resetovat dotaz nebo odebrat existující filtry v aktuálním dotazu, vyberte Vymazat vše. Tím se také znovu aktivuje seznam základních filtrů.

Dále nastavte odpovídající podmínku pro další filtrování dat tak, že je vyberete z druhé rozevírací nabídky a v případě potřeby zadáte položky do třetí rozevírací nabídky:

Další podmínky můžete do dotazu přidat pomocí podmínek AND a OR . Funkce AND vrátí výsledky, které splňují všechny podmínky dotazu, zatímco funkce OR vrátí výsledky, které splňují některou z podmínek v dotazu.

Upřesnění dotazu vám umožní automaticky procházet objemné záznamy a vygenerovat seznam výsledků, které už cílí na vaši konkrétní potřebu proaktivního vyhledávání hrozeb.

Informace o podporovaných datových typech a dalších funkcích režimu s asistencí, které vám pomůžou vyladit dotaz, najdete v článku Upřesnění dotazu v režimu s asistencí.

Vyzkoušení ukázkových kroků k dotazům

Dalším způsobem, jak se seznámit s proaktivním vyhledáváním s asistencí, je načtení ukázkových dotazů předem vytvořených v režimu s asistencí.

V části Začínáme na stránce proaktivního vyhledávání jsme uvedli tři příklady dotazů s asistencí, které můžete načíst. Příklady dotazů obsahují některé z nejběžnějších filtrů a vstupů, které byste při proaktivním vyhledávání obvykle potřebovali. Načtením některého ze tří ukázkových dotazů se otevře prohlídka s asistencí, jak byste položku vytvořili pomocí režimu s asistencí.

Při vytváření dotazu postupujte podle pokynů v modrých výukových bublinách. Vyberte Spustit dotaz.

Vyzkoušejte některé dotazy.

Vyhledávání úspěšných připojení ke konkrétní IP adrese

Pokud chcete vyhledat úspěšnou síťovou komunikaci s konkrétní IP adresou, začněte psát "ip", abyste získali navrhované filtry:

Pokud chcete vyhledat události týkající se konkrétní IP adresy, kde je IP adresa cílem komunikace, vyberte DestinationIPAddress v části Události IP adresy. Pak vyberte operátor rovná se . Do třetí rozevírací nabídky zadejte IP adresu a stiskněte Enter:

Pokud chcete přidat druhou podmínku, která hledá úspěšné události síťové komunikace, vyhledejte filtr konkrétního typu události:

Filtr EventType hledá zaprotokolované různé typy událostí. Je ekvivalentní sloupci ActionType , který existuje ve většině tabulek v rozšířeném proaktivním vyhledávání. Vyberte ho a zvolte jeden nebo více typů událostí, pro které chcete filtrovat. Pokud chcete vyhledat úspěšné události síťové komunikace, rozbalte část DeviceNetworkEvents a zvolte ConnectionSuccess:

Nakonec vyberte Spustit dotaz , který vyhledá veškerou úspěšnou síťovou komunikaci na IP adresu 52.168.117.170:

Hledání vysoce důvěryhodných phishingových nebo spamových e-mailů doručených do doručené pošty

Pokud chcete vyhledat všechny vysoce důvěryhodné phishingové a spamové e-maily, které byly doručeny do složky doručené pošty v době doručení, vyberte nejprve Úroveň spolehlivosti v části Email Události, vyberte rovná se a v seznamu navrhovaných uzavřených zpráv, který podporuje vícenásobný výběr, zvolte Vysoká v části Phish i Spam:

Pak přidejte další podmínku, tentokrát zadejte složku nebo DeliveryLocation, Doručená pošta/složka.

Viz také

• Upřesnění dotazu v režimu s asistencí
• Práce s výsledky dotazu v režimu s asistencí
• Pochopení schématu

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.