Szybkie poszukiwania informacji o encji lub zdarzeniach za pomocą ponagowego poszukiwania

Uwaga

Chcesz doświadczyć Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy:

  • Microsoft 365 Defender
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Akcja wyszukiwania w podróży umożliwia szybkie badanie wydarzeń i różnych typów encji przy użyciu zaawansowanych możliwości wyszukiwania opartych na zapytaniach. Ta akcja automatycznie uruchamia zaawansowane zapytanie wyszukiwania w celu znalezienia odpowiednich informacji na temat wybranego wydarzenia lub jednostki.

Akcja poszukiwania w podróży jest dostępna w różnych sekcjach usługi Defender dla chmury. Ta akcja jest dostępna do wyświetlenia po wyświetlzeniu zdarzenia lub szczegółów encji. Możesz na przykład skorzystać z opcji poszukiwania w następujących sekcjach:

  • Na stronie zdarzenia możesz przeglądać szczegóły dotyczące użytkowników, urządzeń i wielu innych jednostek skojarzonych z zdarzeniem. Po wybraniu encji są dostępne dodatkowe informacje i różne działania, które można podjąć w encji. W poniższym przykładzie zaznaczono skrzynkę pocztową ze szczegółami skrzynki pocztowej i opcją poszukiwania dodatkowych informacji o skrzynce pocztowej.

    Strona Skrzynki pocztowe z opcją przejdź do wyszukiwania w Microsoft 365 Defender poczty

  • Na stronie zdarzenia możesz również uzyskać dostęp do listy obiektów na karcie Dowód . Wybranie jednego z tych obiektów umożliwia szybkie poszukanie informacji o tej encji.

    Opcja Przejdź do wyszukiwania informacji na temat dowodu na stronie Zdarzenie w portalu Microsoft 365 Defender sieci Web

  • Podczas wyświetlania osi czasu dla urządzenia możesz wybrać zdarzenie na osi czasu, aby wyświetlić dodatkowe informacje o tym zdarzeniu. Po wybraniu wydarzenia możesz wybrać inne ważne wydarzenia podczas zaawansowanego wyszukiwania.

    Opcja Wyszukiwania powiązanych zdarzeń na stronie zdarzenia na karcie Osie czasu w portalu Microsoft 365 Defender sieci Web

Wybierz pozycję Przejdź do wyszukiwania lub Pozycję Wyszukiwania, aby uzyskać informacje o powiązanych zdarzeniach, w zależności od tego, czy wybrano encję, czy zdarzenie.

Kwerenda dla informacji o encji

Możesz użyć funkcji wyszukiwania w celu wyszukiwania informacji o użytkowniku, urządzeniu lub encji dowolnego innego typu. Zapytanie sprawdza wszystkie odpowiednie tabele schematów pod każdym zdarzeniami obejmującymi tę jednostkę w celu zwrócenia informacji. Aby zachować możliwości zarządzania wynikami, zapytanie:

  • obejmuje ten sam okres czasu, co najwcześniejsze działanie w ciągu ostatnich 30 dni, które obejmuje jednostkę
  • skojarzone z tym zdarzeniem.

Poniżej znajduje się przykładowa kwerenda wyszukiwania w celu wyszukiwania danych dla urządzenia:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Obsługiwane typy encji

Możesz użyć opcji go hunt po wybraniu dowolnego z następujących typów encji:

  • Pliki
  • Wiadomości e-mail
  • Klastry poczty e-mail
  • Skrzynki pocztowe
  • Użytkownicy
  • Urządzenia
  • Adresy IP
  • Adresy URL

Kwerenda do informacji o zdarzeniu

W przypadku wyszukiwania informacji o zdarzeniu osi czasu za pomocą opcji wyszukiwania w celu wyszukiwania informacji o zdarzeniu osi czasu zapytanie sprawdza wszystkie odpowiednie tabele schematu pod innymi zdarzeniami w czasie wybranego zdarzenia. Na przykład poniższe zapytanie zawiera listę zdarzeń z różnych tabel schematu, które miały miejsce w tym samym czasie na tym samym urządzeniu:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Dostosowywanie zapytania

Mając trochę wiedzy na temat języka zapytań, możesz dostosować zapytanie do własnych preferencji. Możesz na przykład dostosować tę linię, która określa rozmiar okna czasu:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Oprócz modyfikowania zapytania w celu uzyskania bardziej istotnych wyników można również:

Uwaga

Niektóre tabele w tym artykule mogą nie być dostępne w programie Microsoft Defender for Endpoint. Włącz Microsoft 365 Defender, aby poszukać zagrożeń przy użyciu większej liczby źródeł danych. Możesz przenieść zaawansowane przepływy pracy wyszukiwania z programu Microsoft Defender for Endpoint do programu Microsoft 365 Defender, korzystając z procedury migrowania zaawansowanych zapytań myśliwnych z programu Microsoft Defender dla punktu końcowego.