Werken met geavanceerde opsporingsqueryresultaten

Opmerking

Wilt u Microsoft Defender XDR ervaren? Meer informatie over hoe u Microsoft Defender XDR kunt evalueren en piloten.

Van toepassing op:

  • Microsoft Defender XDR

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Hoewel u uw geavanceerde opsporingsquery's kunt samenstellen om nauwkeurige informatie te retourneren, kunt u ook werken met de queryresultaten om meer inzicht te krijgen en specifieke activiteiten en indicatoren te onderzoeken. U kunt de volgende acties uitvoeren voor uw queryresultaten:

  • Resultaten weergeven als een tabel of grafiek
  • Tabellen en grafieken exporteren
  • Inzoomen op gedetailleerde entiteitsgegevens
  • Uw query's rechtstreeks vanuit de resultaten aanpassen

Queryresultaten weergeven als een tabel of grafiek

Bij geavanceerde opsporing worden queryresultaten standaard weergegeven als gegevens in tabelvorm. U kunt ook dezelfde gegevens weergeven als een grafiek. Geavanceerde opsporing ondersteunt de volgende weergaven:

Weergavetype Omschrijving
Tabel Geeft de queryresultaten weer in tabelvorm
Kolomdiagram Geeft een reeks unieke items op de x-as weer als verticale balken waarvan de hoogte numerieke waarden uit een ander veld vertegenwoordigt
Cirkeldiagram Hiermee worden sectietaarten weergegeven die unieke items vertegenwoordigen. De grootte van elke cirkel vertegenwoordigt numerieke waarden uit een ander veld.
Lijndiagram Hiermee worden numerieke waarden voor een reeks unieke items getekend en worden de getekende waarden met elkaar verbonden
Spreidingsdiagram Numerieke waarden voor een reeks unieke items
Vlakdiagram Hiermee worden numerieke waarden voor een reeks unieke items weergegeven en worden de secties onder de getekende waarden ingevuld
Gestapeld vlakdiagram Hiermee worden numerieke waarden voor een reeks unieke items weergegeven en worden de gevulde secties onder de getekende waarden gestapeld
Tijddiagram Waarden op basis van een lineaire tijdschaal uitlijnen

Query's maken voor effectieve grafieken

Bij het weergeven van grafieken identificeert geavanceerde opsporing automatisch de gewenste kolommen en de numerieke waarden die moeten worden samengevoegd. Als u zinvolle grafieken wilt weergeven, maakt u uw query's om de specifieke waarden te retourneren die u wilt visualiseren. Hier volgen enkele voorbeeldquery's en de resulterende grafieken.

Waarschuwingen per ernst

Gebruik de summarize operator om een numerieke telling op te halen van de waarden die u wilt weergeven. In de onderstaande query wordt de summarize operator gebruikt om het aantal waarschuwingen per ernst op te halen.

AlertInfo
| summarize Total = count() by Severity

Bij het weergeven van de resultaten geeft een kolomdiagram elke ernstwaarde weer als een afzonderlijke kolom:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Een voorbeeld van een grafiek met geavanceerde opsporingsresultaten in de Microsoft Defender-portal

Phishing-e-mailberichten in de tien belangrijkste afzenderdomeinen

Als u te maken hebt met een lijst met waarden die niet eindig is, kunt u de Top operator gebruiken om alleen de waarden in kaart te brengen met de meeste exemplaren. Als u bijvoorbeeld de top 10 afzenderdomeinen met de meeste phishing-e-mailberichten wilt ophalen, gebruikt u de onderstaande query:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Gebruik de cirkeldiagramweergave om de distributie over de bovenste domeinen effectief weer te geven:

Het cirkeldiagram met geavanceerde opsporingsresultaten in de Microsoft Defender-portal

Bestandsactiviteiten in de loop van de tijd

Met behulp van de summarize operator met de functie kunt u in de bin() loop van de tijd controleren op gebeurtenissen waarbij een bepaalde indicator betrokken is. In de onderstaande query worden gebeurtenissen met het bestand invoice.doc met intervallen van 30 minuten geteld om pieken in activiteit met betrekking tot dat bestand weer te geven:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Het lijndiagram hieronder markeert duidelijk tijdsperioden met meer activiteit met betrekking tot invoice.doc:

Het lijndiagram met geavanceerde opsporingsresultaten in de Microsoft Defender-portal

Tabellen en grafieken exporteren

Nadat u een query hebt uitgevoerd, selecteert u Exporteren om de resultaten op te slaan in een lokaal bestand. De gekozen weergave bepaalt hoe de resultaten worden geëxporteerd:

  • Tabelweergave: de queryresultaten worden in tabelvorm geëxporteerd als een Microsoft Excel-werkmap
  • Elke grafiek: de queryresultaten worden geëxporteerd als een JPEG-afbeelding van de weergegeven grafiek

Inzoomen op queryresultaten

U kunt de resultaten ook verkennen in overeenstemming met de volgende functies:

  • Een resultaat uitvouwen door de vervolgkeuzepijl links van elk resultaat te selecteren
  • Vouw, indien van toepassing, details uit voor resultaten in JSON- en matrixindelingen door de vervolgkeuzepijl links van de toepasselijke kolomnamen te selecteren voor extra leesbaarheid
  • Open het zijdeelvenster om de details van een record te bekijken (gelijktijdig met uitgevouwen rijen)

Schermopname van het uitbreiden van resultaten om in te zoomen

U kunt ook met de rechtermuisknop op een resultaatwaarde in een rij klikken, zodat u deze kunt gebruiken om meer filters toe te voegen aan de bestaande query of de waarde te kopiëren voor verder onderzoek.

Schermafbeelding van opties wanneer u met de rechtermuisknop op een optie klikt

Als u snel een record in uw queryresultaten wilt inspecteren, selecteert u de bijbehorende rij om het deelvenster Record inspecteren te openen. Het deelvenster bevat de volgende informatie op basis van de geselecteerde record:

  • Assets: een overzicht van de belangrijkste assets (postvakken, apparaten en gebruikers) in de record, verrijkt met beschikbare informatie, zoals risico- en blootstellingsniveaus
  • Alle details: alle waarden uit de kolommen in de record

De geselecteerde record met deelvenster voor het inspecteren van de record in de Microsoft Defender-portal

Als u meer informatie wilt weergeven over een specifieke entiteit in uw queryresultaten, zoals een computer, bestand, gebruiker, IP-adres of URL, selecteert u de entiteits-id om een gedetailleerde profielpagina voor die entiteit te openen.

Uw query's aanpassen aan de resultaten

Selecteer de drie puntjes rechts van een kolom in het deelvenster Record inspecteren . U kunt de opties gebruiken om het volgende te doen:

  • Zoek expliciet naar de geselecteerde waarde (==)
  • De geselecteerde waarde uitsluiten van de query (!=)
  • Meer geavanceerde operators voor het toevoegen van de waarde aan uw query, zoals contains, starts withen ends with

Het deelvenster Actietype op de pagina Record inspecteren in de Microsoft Defender-portal

Opmerking

Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar op Microsoft Defender voor Eindpunt. Schakel Microsoft Defender XDR in om bedreigingen op te sporen met behulp van meer gegevensbronnen. U kunt uw geavanceerde opsporingswerkstromen van Microsoft Defender voor Eindpunt naar Microsoft Defender XDR verplaatsen door de stappen in Geavanceerde opsporingsquery's migreren van Microsoft Defender voor Eindpunt te volgen.

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.