Snel zoeken naar entiteits- of gebeurtenisgegevens met go huntQuickly hunt for entity or event information with go hunt

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing op:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender voor EindpuntMicrosoft Defender for Endpoint

Met de actie Ga opzoeken kunt u snel gebeurtenissen en verschillende entiteitstypen onderzoeken met krachtige geavanceerde zoekmogelijkheden op basis van query's.With the go hunt action, you can quickly investigate events and various entity types using powerful query-based advanced hunting capabilities. Met deze actie wordt automatisch een geavanceerde query uitgevoerd om relevante informatie over de geselecteerde gebeurtenis of entiteit te vinden.This action automatically runs an advanced hunting query to find relevant information about the selected event or entity.

De actie Ga opzoeken is beschikbaar in verschillende secties van het beveiligingscentrum wanneer gebeurtenis- of entiteitsgegevens worden weergegeven.The go hunt action is available in various sections of the security center whenever event or entity details are displayed. U kunt bijvoorbeeld zoeken in de volgende secties gebruiken:For example, you can use go hunt from the following sections:

  • Op de pagina met incidentenkunt u details bekijken over gebruikers, apparaten en vele andere entiteiten die zijn gekoppeld aan een incident.In the incident page, you can review details about users, devices, and many other entities associated with an incident. Wanneer u een entiteit selecteert, krijgt u aanvullende informatie en verschillende acties die u op die entiteit kunt uitvoeren.As you select an entity, you get additional information as well as various actions you could take on that entity. In het onderstaande voorbeeld is een postvak geselecteerd, met informatie over het postvak en de optie om te zoeken naar meer informatie over het postvak.In the example below, a mailbox is selected, showing details about the mailbox as well the option to hunt for more information about the mailbox.

    Afbeelding met postvakdetails met de optie Gaan zoeken

  • Op de pagina met incidenten hebt u ook toegang tot een lijst met entiteiten onder het tabblad Bewijs. Als u een van deze entiteiten selecteert, kunt u snel zoeken naar informatie over die entiteit.In the incident page, you can also access a list of entities under the evidence tab. Selecting one of those entities provides an option to quickly hunt for information about that entity.

    Afbeelding met geselecteerd bestand met de optie Gaan zoeken op het tabblad Bewijs

  • Wanneer u de tijdlijn voor een apparaat bekijkt, kunt u een gebeurtenis in de tijdlijn selecteren om aanvullende informatie over die gebeurtenis weer te geven.When viewing the timeline for a device, you can select an event in the timeline to view additional information about that event. Wanneer een gebeurtenis is geselecteerd, krijgt u de optie om te zoeken naar andere relevante gebeurtenissen in geavanceerde jacht.Once an event is selected, you get the option to hunt for other relevant events in advanced hunting.

    Afbeelding met gebeurtenisdetails met de optie Gaan zoeken

Als u Zoeken naar of Zoeken naar gerelateerde gebeurtenissen selecteert, worden verschillende query's door de query's geselecteerd, afhankelijk van of u een entiteit of een gebeurtenis hebt geselecteerd.Selecting Go hunt or Hunt for related events passes different queries, depending on whether you've selected an entity or an event.

Query voor entiteitsgegevensQuery for entity information

Wanneer u ga zoeken naar query's gebruikt voor informatie over een gebruiker, apparaat of een ander type entiteit, worden in de query alle relevante schematabellen gecontroleerd op gebeurtenissen met die entiteit.When using go hunt to query for information about a user, device, or any other type of entity, the query checks all relevant schema tables for any events involving that entity. Om de resultaten beheersbaar te houden, is de query beperkt tot ongeveer dezelfde periode als de vroegste activiteit in de afgelopen 30 dagen waarbij de entiteit betrokken is en die is gekoppeld aan het incident.To keep the results manageable, the query is scoped to around the same time period as the earliest activity in the past 30 days that involves the entity and is associated with the incident.

Hier is een voorbeeld van de zoekquery voor een apparaat:Here is an example of the go hunt query for a device:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Ondersteunde entiteitstypenSupported entity types

U kunt gaan zoeken gebruiken nadat u een van deze entiteitstypen hebt geselecteerd:You can use go hunt after selecting any of these entity types:

  • BestandenFiles
  • E-mailberichtenEmails
  • E-mailclustersEmail clusters
  • PostvakkenMailboxes
  • GebruikersUsers
  • ApparatenDevices
  • IP-adressenIP addresses
  • URL'sURLs

Query voor gebeurtenisgegevensQuery for event information

Wanneer u ga zoeken naar query's gebruikt voor informatie over een tijdlijngebeurtenis, worden met de query alle relevante schematabellen gecontroleerd op andere gebeurtenissen rond de tijd van de geselecteerde gebeurtenis.When using go hunt to query for information about a timeline event, the query checks all relevant schema tables for other events around the time of the selected event. In de volgende query worden bijvoorbeeld gebeurtenissen in verschillende schematabellen weergegeven die zich rond dezelfde periode op hetzelfde apparaat hebben voorgedaan:For example, the following query lists events in various schema tables that occurred around the same time period on the same device:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

De query aanpassenAdjust the query

Met enige kennis van de querytaalkunt u de query aanpassen aan uw voorkeur.With some knowledge of the query language, you can adjust the query to your preference. U kunt bijvoorbeeld deze regel aanpassen, waardoor de grootte van het tijdvenster wordt bepaald:For example, you can adjust this line, which determines the size of the time window:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

U kunt de query niet alleen wijzigen om relevantere resultaten te krijgen, maar ook:In addition to modifying the query to get more relevant results, you can also:

Notitie

Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar in Microsoft Defender voor Eindpunt.Some tables in this article might not be available in Microsoft Defender for Endpoint. Schakel de Microsoft 365 Defender in om te zoeken naar bedreigingen met behulp van meer gegevensbronnen.Turn on Microsoft 365 Defender to hunt for threats using more data sources. U kunt uw geavanceerde zoekwerkstromen verplaatsen van Microsoft Defender voor Eindpunt naar Microsoft 365 Defender door de stappen in Geavanceerde zoekquery's migreren uit Microsoft Defender voor Eindpunt te volgen.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.