Пример расширенной охоты для Microsoft Defender для Office 365

  • Статья

Область применения:

  • Microsoft Defender XDR

Хотите начать поиск угроз электронной почты с помощью расширенных методов поиска? Попробуйте выполнить следующие действия.

В руководстве по развертыванию Microsoft Defender для Office 365 объясняется, как перейти к работе и начать настройку на 1-й день.

В зависимости от предустановленной политики безопасности и пользовательских политик параметры автоматической очистки (ZAP) важно знать, было ли вредоносное сообщение удалено из почтового ящика после доставки.

Быстрый переход к языку запросов Kusto для охоты на проблемы является преимуществом совмещения этих двух центров безопасности. Группы безопасности могут отслеживать промахи ZAP, выполнив следующие действия на портале Microsoft Defender в https://security.microsoft.com>разделе Охота>advanced hunting.

  1. На странице Расширенный поиск убедитесь https://security.microsoft.com/v2/advanced-hunting, что выбрана вкладка Новый запрос .

  2. Скопируйте следующий запрос в поле Запрос :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Выберите Выполнить запрос.

Страница Расширенной охоты (в разделе Охота) с выбранным запросом в верхней части панели запросов и выполнением запроса Kusto для отслеживания действий ZAP за последние семь дней.

Данные из этого запроса отображаются на панели Результаты под самим запросом. Результаты включают такие сведения, как DeviceName, AccountDisplayNameи ZapTime в настраиваемом результирующем наборе. Результаты также можно экспортировать для хранения. Чтобы сохранить запрос для повторного использования, выберите Сохранить>как , чтобы добавить запрос в список запросов, общих запросов или запросов сообщества.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.