고급 헌팅에 대한 전문 교육을 받을 수 있습니다.Get expert training on advanced hunting

중요

개선된 Microsoft 365 보안 센터를 사용할 수 있습니다.The improved Microsoft 365 security center is now available. 이 새로운 환경은 엔드포인트용 Defender, Office 365용 Defender, Microsoft 365 Defender 등을 Microsoft 365 보안 센터에 제공합니다.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 새로운 기능에 대해 알아보세요.Learn what's new.

적용 대상:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • 끝점용 Microsoft DefenderMicrosoft Defender for Endpoint

새로운 보안 분석가와 경험 많은 위협 헌터를 위한 웹캐스트 시리즈인 사적 추적을 통해 고급 헌팅에 대한 지식을 빠르게 향상합니다.Boost your knowledge of advanced hunting quickly with Tracking the adversary, a webcast series for new security analysts and seasoned threat hunters. 시리즈는 복잡한 쿼리를 만드는 모든 방법을 기본으로 안내합니다.The series guides you through the basics all the way to creating your own sophisticated queries. 기본 사항에 대한 첫 번째 비디오로 시작하거나 환경 수준에 맞는 고급 비디오로 이동하세요.Start with the first video on fundamentals or jump to more advanced videos that suit your level of experience.

제목Title 설명Description 시청Watch 쿼리Queries
에피소드 1: KQL 기본 사항Episode 1: KQL fundamentals 이 에피소드는 Defender에서 고급 헌팅의 기본 Microsoft 365 다를 수 있습니다.This episode covers the basics of advanced hunting in Microsoft 365 Defender. 사용 가능한 고급 헌팅 데이터와 기본 KQL 구문 및 연산자에 대해 자세히 알아보습니다.Learn about available advanced hunting data and basic KQL syntax and operators. YouTube(54:14)YouTube (54:14) 텍스트 파일Text file
에피소드 2: 참가Episode 2: Joins 고급 헌팅의 데이터와 테이블을 함께 조인하는 방법에 대해 계속 학습합니다.Continue learning about data in advanced hunting and how to join tables together. , inner outer , uniquesemi 조인에 대해 알아보고 기본 Kusto 조인의 미주를 innerunique 이해합니다.Learn about inner, outer, unique, and semi joins, and understand the nuances of the default Kusto innerunique join. YouTube(53:33)YouTube (53:33) 텍스트 파일Text file
에피소드 3: 데이터 요약, 피벗 및 시각화Episode 3: Summarizing, pivoting, and visualizing data 데이터를 필터링, 조작 및 조인하는 방법을 배웠습니다. 이제 데이터를 요약, 수량화, 피벗 및 시각화해야 합니다.Now that you've learned to filter, manipulate, and join data, it’s time to summarize, quantify, pivot, and visualize. 이 에피소드에서는 운영자 및 다양한 계산에 대해 설명하는 동시에 추가 테이블을 summarize 소개합니다.This episode discusses the summarize operator and various calculations, while introducing additional tables in the schema. 또한 인사이트를 추출하는 데 도움이 되는 차트로 데이터 집합을 전환하는 방법을 배워야 합니다.You'll also learn to turn datasets into charts that can help you extract insight. YouTube(48:52)YouTube (48:52) 텍스트 파일Text file
에피소드 4: 헌트해보시고요!Episode 4: Let’s hunt! 인시던트 추적에 KQL 적용Applying KQL to incident tracking 이 에피소드에서 일부 공격자 활동을 추적하는 방법을 배워야 합니다.In this episode, you learn to track some attacker activity. Kusto 및 고급 헌팅에 대한 향상된 이해를 사용하여 공격을 추적합니다.We use our improved understanding of Kusto and advanced hunting to track an attack. 사이버 보안 ABC를 포함하여 현장에서 사용되는 실제 트릭과 인시던트 대응에 적용하는 방법을 학습합니다.Learn actual tricks used in the field, including the ABCs of cybersecurity and how to apply them to incident response. YouTube(59:36)YouTube (59:36) 텍스트 파일Text file

L33TSP3AK를 사용한 더 많은 전문 교육: Microsoft 365 Defender의 고급 헌팅은 Microsoft 365 Defender에서 고급 헌팅을 사용하여 보안 조사를 수행하기 위한 기술 지식 및 실용적인 기술을 확장하기 위한 분석가를 위한 웹캐스트 시리즈입니다.Get more expert training with L33TSP3AK: Advanced hunting in Microsoft 365 Defender, a webcast series for analysts looking to expand their technical knowledge and practical skills in conducting security investigations using advanced hunting in Microsoft 365 Defender.

제목Title 설명Description 시청Watch 쿼리Queries
에피소드 1Episode 1 이 에피소드에서는 고급 헌팅 쿼리를 실행하는 다양한 모범 사례를 배우게 됩니다.In this episode, you will learn different best practices in running advanced hunting queries. 이 항목 중에는 쿼리를 최적화하고, 랜섬웨어에 고급 헌팅을 사용하며, JSON을 동적 유형으로 처리하고, 외부 데이터 연산자를 사용하는 방법도 있습니다.Among the topics covered are: how to optimize your queries, use advanced hunting for ransomware, handle JSON as a dynamic type, and work with external data operators. YouTube(56:34)YouTube (56:34) 텍스트 파일Text file
에피소드 2Episode 2 이 에피소드에서는 받은 편지함 전달 규칙을 통해 의심스러우거나 비정상적인 로그온 위치 및 데이터 유출을 조사하고 이에 대응하는 방법을 배우게 됩니다.In this episode, you will learn how to investigate and respond to suspicious or unusual logon locations and data exfiltration via inbox forwarding rules. 클라우드 보안 CxE의 선임 프로그램 관리자인 Sebastien Molendijk는 고급 헌팅을 사용하여 데이터로 다단계 인시던트를 조사하는 Microsoft Cloud App Security 공유합니다.Sebastien Molendijk, Senior Program Manager for Cloud Security CxE, shares how to use advanced hunting to investigate multi-stage incidents with Microsoft Cloud App Security data. YouTube(57:07)YouTube (57:07) 텍스트 파일Text file

CSL 파일을 사용하는 방법How to use the CSL file

에피소드를 시작하기 전에 GitHub 해당 텍스트 파일에 액세스하고 해당 콘텐츠를 고급 헌팅 쿼리 편집기로 복사합니다.Before starting an episode, access the corresponding text file on GitHub and copy its contents to the advanced hunting query editor. 에피소드를 시청할 때 복사된 콘텐츠를 사용하여 스피커를 팔로우하고 쿼리를 실행할 수 있습니다.As you watch an episode, you can use the copied contents to follow the speaker and run queries.

다음은 쿼리가 포함된 텍스트 파일에서 발췌한 내용으로 주석으로 표시된 포괄적인 지침 집합을 보여 주며, //The following excerpt from a text file containing the queries shows a comprehensive set of guidance marked as comments with //.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

아래와 같이 동일한 텍스트 파일에는 설명 앞과 뒤의 쿼리가 포함됩니다.The same text file includes queries before and after the comments as shown below. 편집기에서 쿼리가 여러개 있는 특정 쿼리를 실행하려면 커서를 해당 쿼리로 이동하고 쿼리 실행을 선택합니다.To run a specific query with multiple queries in the editor, move the cursor to that query and select Run query.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc