Trabalhar com resultados avançados de consulta de caça
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
Embora você possa construir suas consultas de caça avançadas para retornar informações precisas, você também pode trabalhar com os resultados da consulta para obter mais informações e investigar atividades e indicadores específicos. Você pode executar as seguintes ações nos resultados da consulta:
- Exibir resultados como uma tabela ou gráfico
- Exportar tabelas e gráficos
- Detalhar as informações detalhadas da entidade
- Ajustar suas consultas diretamente dos resultados
Exibir os resultados da consulta como uma tabela ou gráfico
Por padrão, a caça avançada exibe os resultados da consulta como dados tabulares. Você também pode exibir os mesmos dados de um gráfico. A caça avançada dá suporte às seguintes exibições:
Tipo de modo de exibição | Descrição |
---|---|
Table | Exibe os resultados da consulta no formato tabular |
Gráfico de colunas | Renderiza uma série de itens exclusivos no eixo x como barras verticais cujas alturas representam valores numéricos de outro campo |
Gráfico de pizza | Renderiza pizzas seccionais que representam itens exclusivos. O tamanho de cada torta representa valores numéricos de outro campo. |
Gráfico de linhas | Plota valores numéricos para uma série de itens exclusivos e conecta os valores plotados |
Gráfico de dispersão | Plota valores numéricos para uma série de itens exclusivos |
Gráfico de área | Plota valores numéricos para uma série de itens exclusivos e preenche as seções abaixo dos valores plotados |
Gráfico de área empilhada | Plota valores numéricos para uma série de itens exclusivos e empilha as seções preenchidas abaixo dos valores plotados |
Gráfico de tempo | Plota valores por contagem em uma escala de tempo linear |
Construir consultas para gráficos eficazes
Ao renderizar gráficos, a caça avançada identifica automaticamente colunas de interesse e os valores numéricos a serem agregados. Para obter gráficos significativos, crie suas consultas para retornar os valores específicos que você deseja ver visualizados. Aqui estão algumas consultas de exemplo e os gráficos resultantes.
Alertas por severidade
Use o summarize
operador para obter uma contagem numérica dos valores que você deseja mapear. A consulta abaixo usa o summarize
operador para obter o número de alertas por gravidade.
AlertInfo
| summarize Total = count() by Severity
Ao renderizar os resultados, um gráfico de colunas exibe cada valor de gravidade como uma coluna separada:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Emails de phishing entre os dez principais domínios de remetente
Se você estiver lidando com uma lista de valores que não são finitos, você pode usar o Top
operador para mapear apenas os valores com a maioria das instâncias. Por exemplo, para obter os 10 principais domínios de remetente com mais emails de phishing, use a consulta abaixo:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Use a exibição do gráfico de pizza para mostrar efetivamente a distribuição entre os domínios superiores:
Atividades de arquivo ao longo do tempo
Usando o summarize
operador com a bin()
função, você pode marcar para eventos envolvendo um determinado indicador ao longo do tempo. A consulta abaixo conta eventos envolvendo o arquivo invoice.doc
em intervalos de 30 minutos para mostrar picos na atividade relacionada a esse arquivo:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
O gráfico de linhas abaixo realça claramente os períodos de tempo com mais atividades envolvendo invoice.doc
:
Exportar tabelas e gráficos
Depois de executar uma consulta, selecione Exportar para salvar os resultados no arquivo local. Sua exibição escolhida determina como os resultados são exportados:
- Exibição da tabela — Os resultados da consulta são exportados em formato tabular como uma pasta de trabalho do Microsoft Excel
- Qualquer gráfico — Os resultados da consulta são exportados como uma imagem JPEG do gráfico renderizado
Detalhar os resultados da consulta
Você também pode explorar os resultados em linha com os seguintes recursos:
- Expanda um resultado selecionando a seta suspensa à esquerda de cada resultado
- Quando aplicável, expanda os detalhes dos resultados que estão em formatos JSON e matriz selecionando a seta suspensa à esquerda dos nomes de coluna aplicáveis para maior legibilidade
- Abra o painel lateral para ver os detalhes de um registro (simultâneo com linhas expandidas)
Você também pode clicar com o botão direito do mouse em qualquer valor de resultado em uma linha para que você possa usá-lo para adicionar mais filtros à consulta existente ou copiar o valor para uso em uma investigação mais aprofundada.
Além disso, para campos JSON e matriz, você pode clicar com o botão direito do mouse e atualizar a consulta existente para incluir ou excluir o campo ou estender o campo para uma nova coluna.
Para inspecionar rapidamente um registro nos resultados da consulta, selecione a linha correspondente para abrir o painel Inspecionar registro . O painel fornece as seguintes informações com base no registro selecionado:
- Ativos — exibição resumida dos ativos main (caixas de correio, dispositivos e usuários) encontrados no registro, enriquecidos com informações disponíveis, como níveis de risco e exposição
- Todos os detalhes: todos os valores das colunas no registro
Para exibir mais informações sobre uma entidade específica em seus resultados de consulta, como um computador, arquivo, usuário, endereço IP ou URL, selecione o identificador de entidade para abrir uma página de perfil detalhada para essa entidade.
Ajustar consultas a partir dos resultados
Selecione os três pontos à direita de qualquer coluna no painel Inspecionar registro . Você pode usar as opções para:
- Procurar explicitamente pelo valor selecionado (
==
) - Excluir o valor selecionado da consulta (
!=
) - Obtenha operadores mais avançados para adicionar o valor à sua consulta, como
contains
,starts with
eends with
Observação
Algumas tabelas neste artigo podem não estar disponíveis em Microsoft Defender para Ponto de Extremidade. Ative Microsoft Defender XDR para procurar ameaças usando mais fontes de dados. Você pode mover seus fluxos de trabalho avançados de caça de Microsoft Defender para Ponto de Extremidade para Microsoft Defender XDR seguindo as etapas em Migrar consultas avançadas de caça Microsoft Defender para Ponto de Extremidade.
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
- Visão geral de detecções personalizadas
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de