Opsporingsquery's bouwen met behulp van de begeleide modus in Microsoft Defender XDR

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Met de opbouwfunctie voor query's in de begeleide modus kunnen analisten zinvolle opsporingsquery's maken zonder Kusto-querytaal (KQL) of het gegevensschema te kennen. Analisten uit elke ervaringslaag kunnen de opbouwfunctie voor query's gebruiken om gegevens van de afgelopen 30 dagen te filteren om te zoeken naar bedreigingen, incidentonderzoeken uit te breiden, gegevensanalyses uit te voeren op bedreigingsgegevens of zich te richten op specifieke bedreigingsgebieden.

De analist kan kiezen welke gegevensset moet worden bekeken en welke filters en voorwaarden moeten worden gebruikt om de gegevens te beperken tot wat ze nodig hebben.

U kunt deze video watch om een overzicht te krijgen van begeleide jacht:

Query openen in opbouwfunctie

Selecteer op de pagina Geavanceerde opsporingCreatie nieuw om een nieuw querytabblad te openen en selecteer Query in opbouwfunctie.

Schermopname van de opbouwfunctie voor query's in de begeleide modus

Hiermee gaat u naar de begeleide modus, waar u vervolgens uw query kunt samenstellen door verschillende onderdelen te selecteren met behulp van vervolgkeuzelijsten.

Geef het gegevensdomein op waarin moet worden gejaagd

U kunt het bereik van de opsporing bepalen door te selecteren welk domein de query omvat:

Schermopname van de vervolgkeuzelijst Voor het bouwen van query's in de begeleide modus

Als u Alles selecteert, bevat u gegevens uit alle domeinen waartoe u momenteel toegang hebt. Door te beperken tot een specifiek domein kunnen filters alleen relevant zijn voor dat domein.

U kunt kiezen uit:

  • Alle domeinen : als u alle beschikbare gegevens in uw query wilt bekijken
  • Eindpunten: om eindpuntgegevens te bekijken zoals verstrekt door Microsoft Defender voor Eindpunt
  • Apps en identiteiten: als u wilt zoeken naar toepassings- en identiteitsgegevens zoals verstrekt door Microsoft Defender for Cloud Apps en Microsoft Defender for Identity; gebruikers die bekend zijn met het activiteitenlogboek, kunnen hier dezelfde gegevens vinden
  • Email en samenwerking: als u gegevens van e-mail- en samenwerkingsapps wilt bekijken, zoals SharePoint, OneDrive en andere; gebruikers die bekend zijn met Threat Explorer, kunnen hier dezelfde gegevens vinden

Basisfilters gebruiken

Begeleide opsporing bevat standaard enkele basisfilters om snel aan de slag te gaan.

Schermopname van de eenvoudige filterset van de opbouwfunctie voor de begeleide modus

Wanneer u één gegevensbron kiest, bijvoorbeeld Eindpunten, geeft de opbouwfunctie voor query's alleen de toepasselijke filtergroepen weer. U kunt vervolgens een filter kiezen dat u wilt beperken door die filtergroep te selecteren, bijvoorbeeld EventType, en het filter van uw keuze te selecteren.

Schermopname van de set basisfilters voor de opbouwfunctie voor query's in de begeleide modus

Zodra de query klaar is, selecteert u de blauwe knop Query uitvoeren . Als de knop grijs wordt weergegeven, betekent dit dat de query moet worden ingevuld of verder moet worden bewerkt.

Opmerking

In de basisfilterweergave wordt alleen de operator AND gebruikt, wat betekent dat het uitvoeren van de query resultaten genereert waarvoor alle ingestelde filters waar zijn.

Voorbeeldquery's laden

Een andere snelle manier om vertrouwd te raken met begeleide opsporing is door voorbeeldquery's te laden met behulp van het vervolgkeuzemenu Voorbeeldquery's laden . Schermopname van de lijst met voorbeeldquery's voor het laden van voorbeeldquery's in de begeleide modus

Opmerking

Als u een voorbeeldquery selecteert, overschrijft u de bestaande query.

Zodra de voorbeeldquery is geladen, selecteert u Query uitvoeren.

Schermopname van de geladen query in de begeleide modus van de opbouwfunctie voor query's

Als u eerder een domein hebt geselecteerd, wordt de lijst met beschikbare voorbeeldquery's dienovereenkomstig gewijzigd.

Schermopname van de beperkte lijst van de opbouwfunctie voor query's in de begeleide modus

Als u de volledige lijst met voorbeeldquery's wilt herstellen, selecteert u Alle domeinen en opent u vervolgens Voorbeeldquery's laden opnieuw.

Als de geladen voorbeeldquery filters buiten de basisfilterset gebruikt, wordt de wisselknop grijs weergegeven. Als u wilt teruggaan naar de basisfilterset, selecteert u Alles wissen en schakelt u Alle filters in.

Meer filters gebruiken

Als u meer filtergroepen en voorwaarden wilt weergeven, selecteert u Wisselknop om meer filters en voorwaarden weer te geven.

Schermopname van de wisselknop voor de opbouwfunctie voor query's in de begeleide modus

Wanneer de wisselknop Alle filters actief is, kunt u nu het volledige bereik van filters en voorwaarden in de begeleide modus gebruiken.

Schermopname van de opbouwfunctie voor query's in de begeleide modus alle filters actief

Creatie voorwaarden

Als u een set gegevens wilt opgeven die in de query moeten worden gebruikt, selecteert u Een filter selecteren. Verken de verschillende filtersecties om te zien wat er voor u beschikbaar is.

Schermopname van verschillende filters die u kunt gebruiken

Typ de sectietitels in het zoekvak boven aan de lijst om het filter te vinden. Secties die eindigen op informatie bevatten filters die informatie bieden over de verschillende onderdelen die u kunt bekijken en filters voor de statussen van entiteiten. Secties die eindigen op gebeurtenissen bevatten filters waarmee u kunt zoeken naar een bewaakte gebeurtenis op de entiteit. Als u bijvoorbeeld wilt zoeken naar activiteiten waarbij bepaalde apparaten betrokken zijn, kunt u de filters in de sectie Apparaat-gebeurtenissen gebruiken.

Opmerking

Als u een filter kiest dat niet in de lijst met basisfilters staat, wordt de wisselknop gedeactiveerd of grijs weergegeven om terug te keren naar de basisfilterweergave. Als u de query opnieuw wilt instellen of bestaande filters in de huidige query wilt verwijderen, selecteert u Alles wissen. Hiermee wordt ook de lijst met basisfilters opnieuw geactiveerd.

Stel vervolgens de juiste voorwaarde in om de gegevens verder te filteren door deze te selecteren in de tweede vervolgkeuzelijst en zo nodig vermeldingen in het derde vervolgkeuzemenu op te geven:

Schermopname van verschillende voorwaarden die u kunt gebruiken

U kunt meer voorwaarden aan uw query toevoegen met behulp van EN- en OF-voorwaarden . AND retourneert resultaten die voldoen aan alle voorwaarden in de query, terwijl OF resultaten retourneert die voldoen aan een van de voorwaarden in de query.

Schermopname met AND OF-operators

Als u uw query verfijnt, kunt u automatisch uitgebreide records doorzoeken om een lijst met resultaten te genereren die al is gericht op uw specifieke behoefte aan het opsporen van bedreigingen.

Als u wilt weten welke gegevenstypen worden ondersteund en andere mogelijkheden voor de begeleide modus om u te helpen uw query te verfijnen, leest u Uw query verfijnen in de begeleide modus.

Voorbeeldquery-instructies proberen

Een andere manier om vertrouwd te raken met begeleide opsporing is door voorbeeldquery's te laden die vooraf zijn gemaakt in de begeleide modus.

In de sectie Aan de slag van de opsporingspagina hebben we drie voorbeelden van begeleide query's gegeven die u kunt laden. De queryvoorbeelden bevatten enkele van de meest voorkomende filters en invoer die u normaal gesproken nodig hebt bij het opsporen. Als u een van de drie voorbeeldquery's laadt, wordt een rondleiding geopend over hoe u de vermelding zou samenstellen met behulp van de begeleide modus.

Schermopname van aan de slag met de opbouwfunctie voor query's in de begeleide modus

Volg de instructies in de blauwe lesballonnen om uw query te maken. Selecteer Query uitvoeren.

Probeer een aantal query's

Zoeken naar succesvolle verbindingen met een specifiek IP-adres

Als u wilt zoeken naar geslaagde netwerkcommunicatie naar een specifiek IP-adres, begint u 'ip' te typen om voorgestelde filters te krijgen:

Schermopname van het zoeken naar geslaagde verbindingen met het eerste IP-filter in de begeleide modus

Als u wilt zoeken naar gebeurtenissen met betrekking tot een specifiek IP-adres waarbij het IP-adres het doel van de communicatie is, selecteert u DestinationIPAddress onder de sectie IP-adres gebeurtenissen. Selecteer vervolgens de operator equals . Typ het IP-adres in de derde vervolgkeuzelijst en druk op Enter:

Schermopname van het zoeken naar geslaagde verbindingen met een specifiek IP-adres in de begeleide modus

Als u vervolgens een tweede voorwaarde wilt toevoegen die zoekt naar geslaagde netwerkcommunicatie-gebeurtenissen, zoekt u naar het filter van een specifiek gebeurtenistype:

Schermopname van het zoeken naar geslaagde verbindingen met een specifiek IP-adres, tweede voorwaarde voor de opbouwfunctie voor query's in de begeleide modus

Het EventType-filter zoekt naar de verschillende gebeurtenistypen die zijn vastgelegd. Dit is gelijk aan de kolom ActionType die voorkomt in de meeste tabellen in geavanceerde opsporing. Selecteer deze om een of meer gebeurtenistypen te kiezen om op te filteren. Als u wilt zoeken naar geslaagde netwerkcommunicatie-gebeurtenissen, vouwt u de sectie DeviceNetworkEvents uit en kiest u ConnectionSuccessvervolgens :

Schermopname van het zoeken naar geslaagde verbindingen met specifieke IP-derde voorwaarde voor de opbouwfunctie in de begeleide modus

Selecteer ten slotte Query uitvoeren om te zoeken naar alle geslaagde netwerkcommunicatie naar het IP-adres 52.168.117.170:

Schermopname van het zoeken naar geslaagde verbindingen met specifieke IP-resultatenweergave in de begeleide modus

Zoeken naar phishing-e-mails met hoge betrouwbaarheid of spam die in postvak IN worden bezorgd

Als u wilt zoeken naar alle phishing- en spam-e-mailberichten met hoge betrouwbaarheid die op het moment van levering in de map Postvak IN zijn bezorgd, selecteert u eerst Betrouwbaarheidsniveau onder Email Gebeurtenissen, selecteert u gelijk aan en kiest u Hoog onder zowel Phish als Spam in de voorgestelde gesloten lijst die meerdere selecties ondersteunt:

Schermopname van de opbouwfunctie voor query's in de begeleide modus jaagt op phish- of spam-e-mailberichten die in het Postvak IN worden bezorgd, eerste voorwaarde

Voeg vervolgens een andere voorwaarde toe, waarbij u deze keer de map of DeliveryLocation, Postvak IN/map opgeeft.

Schermopname van begeleide modus query builder hunt high confidence phish of spam e-mailberichten bezorgd in Postvak IN, tweede voorwaarde

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.