Krijg deskundige training over geavanceerd jagen

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum. Ontdek wat er nieuw is.

Van toepassing op:

  • Microsoft 365 Defender
  • Microsoft Defender voor Eindpunt

Vergroot uw kennis van geavanceerde jacht snel met Het bijhouden van de tegenpartij, een webcastreeks voor nieuwe beveiligingsanalisten en doorgevinterde bedreigingsjagers. De reeks begeleidt u door de basisbeginselen tot aan het maken van uw eigen geavanceerde query's. Begin met de eerste video over grondbeginselen of ga naar geavanceerdere video's die passen bij uw ervaringsniveau.

Titel Beschrijving Volgen Query's
Aflevering 1: KQL-fundamentals In deze aflevering worden de basisbeginselen van geavanceerde Microsoft 365 Defender. Meer informatie over beschikbare geavanceerde zoekgegevens en basis-syntaxis en operatoren van KQL. YouTube (54:14) Tekstbestand
Aflevering 2: Joins Lees verder over gegevens in geavanceerde zoekprocessen en hoe u tabellen kunt samenbrengen. Lees meer inner over outer , en unique semi joins en begrijp de nuances van de standaard innerunique Kusto-join. YouTube (53:33) Tekstbestand
Aflevering 3: Gegevens samenvatten, draaien en visualiseren Nu u hebt geleerd gegevens te filteren, te manipuleren en deel te nemen, is het tijd om gegevens samen te vatten, kwantificeren, te draaien en te visualiseren. In deze aflevering worden de operator en verschillende berekeningen besproken, terwijl u aanvullende summarize tabellen in het schema introduceert. U leert ook gegevenssets om te zetten in grafieken waarmee u inzicht kunt verkrijgen. YouTube (48:52) Tekstbestand
Aflevering 4: Laten we op zoek gaan! KQL toepassen op het bijhouden van incidenten In deze aflevering leert u hoe u bepaalde activiteiten van aanvallers kunt bijhouden. We gebruiken ons verbeterde begrip van Kusto en geavanceerde jacht om een aanval bij te houden. Leer de werkelijke trucs die in het veld worden gebruikt, waaronder de ABC's van cyberbeveiliging en hoe u deze kunt toepassen op incidentrespons. YouTube (59:36) Tekstbestand

Krijg meer deskundige training met L33TSP3AK: Geavanceerde jacht in Microsoft 365 Defender, een webcastreeks voor analisten die hun technische kennis en praktische vaardigheden willen uitbreiden bij het uitvoeren van beveiligingsonderzoeken met behulp van geavanceerde jacht in Microsoft 365 Defender.

Titel Beschrijving Volgen Query's
Aflevering 1 In deze aflevering leert u verschillende best practices voor het uitvoeren van geavanceerde zoekquery's. Een van de onderwerpen die worden besproken zijn: het optimaliseren van uw query's, het gebruik van geavanceerde zoek naar ransomware, het verwerken van JSON als een dynamisch type en het werken met externe gegevensoperatoren. YouTube (56:34) Tekstbestand
Aflevering 2 In deze aflevering leert u hoe u verdachte of ongebruikelijke aanmeldingslocaties en gegevens exfiltratie kunt onderzoeken en beantwoorden via regels voor het doorsturen van postvak IN. Sebastien Molendijk, Senior Program Manager voor Cloud Security CxE, vertelt hoe u geavanceerde jacht kunt gebruiken om incidenten in meerdere fases met Microsoft Cloud App Security onderzoeken. YouTube (57:07) Tekstbestand

Het CSL-bestand gebruiken

Voordat u een aflevering start, hebt u toegang tot het bijbehorende tekstbestand op GitHub en kopieert u de inhoud naar de geavanceerde queryeditor. Terwijl u een aflevering bekijkt, kunt u de gekopieerde inhoud gebruiken om de spreker te volgen en query's uit te voeren.

In het volgende fragment uit een tekstbestand met de query's ziet u een uitgebreide set richtlijnen die zijn gemarkeerd als opmerkingen met // .

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

Hetzelfde tekstbestand bevat query's voor en na de opmerkingen zoals hieronder wordt weergegeven. Als u een specifieke query wilt uitvoeren met meerdere query's inde editor, verplaatst u de cursor naar die query en selecteert u Query uitvoeren.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc