Быстрая охота за сведениями о сущности или событиях с помощью go huntQuickly hunt for entity or event information with go hunt

Важно!

Доступен улучшенный Центр безопасности Microsoft 365.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint

С помощью действия go hunt можно быстро исследовать события и различные типы сущности с помощью мощных расширенных возможностей охоты на основе запросов. With the go hunt action, you can quickly investigate events and various entity types using powerful query-based advanced hunting capabilities. Это действие автоматически запускает расширенный запрос на поиск соответствующих сведений о выбранном событии или объекте.This action automatically runs an advanced hunting query to find relevant information about the selected event or entity.

Действие охоты на перейти доступно в различных разделах центра безопасности всякий раз, когда отображаются сведения о событии или объекте.The go hunt action is available in various sections of the security center whenever event or entity details are displayed. Например, можно использовать go hunt из следующих разделов:For example, you can use go hunt from the following sections:

  • На странице инцидентаможно просмотреть сведения о пользователях, устройствах и многих других сущностях, связанных с инцидентом.In the incident page, you can review details about users, devices, and many other entities associated with an incident. При выборе объекта вы получаете дополнительные сведения, а также различные действия, которые можно принять для этого объекта.As you select an entity, you get additional information as well as various actions you could take on that entity. В приведенной ниже примере выбирается почтовый ящик, в котором отображаются сведения о почтовом ящике, а также возможность охоты за дополнительными сведениями о почтовом ящике.In the example below, a mailbox is selected, showing details about the mailbox as well the option to hunt for more information about the mailbox.

    Изображение, на котором показаны сведения о почтовом ящике с помощью параметра go hunt

  • На странице инцидента можно также получить доступ к списку сущностям в вкладке доказательства. Выбор одного из этих сущностей позволяет быстро искать сведения об этом объекте.In the incident page, you can also access a list of entities under the evidence tab. Selecting one of those entities provides an option to quickly hunt for information about that entity.

    Изображение, показывающая выбранный файл с параметром go hunt на вкладке Evidence

  • При просмотре временной шкалы устройства можно выбрать событие в временной шкале, чтобы просмотреть дополнительные сведения об этом событии.When viewing the timeline for a device, you can select an event in the timeline to view additional information about that event. После выбора события вы получите возможность охотиться за другими соответствующими событиями в продвинутой охоте.Once an event is selected, you get the option to hunt for other relevant events in advanced hunting.

    Изображение, показывающая сведения о событии с помощью параметра "Охота на перейдите"

Выбор перейти на охоту или охоту для связанных событий передает различные запросы в зависимости от того, выбрали ли вы объект или событие.Selecting Go hunt or Hunt for related events passes different queries, depending on whether you've selected an entity or an event.

Запрос сведений об объектахQuery for entity information

При использовании go hunt для запроса сведений о пользователе, устройстве или любом другом типе сущности запрос проверяет все соответствующие таблицы схемы на наличие событий, связанных с этим объектом.When using go hunt to query for information about a user, device, or any other type of entity, the query checks all relevant schema tables for any events involving that entity. Чтобы сохранить управляемые результаты, запрос охватывает примерно тот же период времени, что и самое раннее действие за последние 30 дней, связанное с объектом и связанное с инцидентом.To keep the results manageable, the query is scoped to around the same time period as the earliest activity in the past 30 days that involves the entity and is associated with the incident.

Вот пример запроса на поиск для устройства:Here is an example of the go hunt query for a device:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Поддерживаемые типы сущностиSupported entity types

Вы можете использовать go hunt после выбора любого из этих типов сущности:You can use go hunt after selecting any of these entity types:

  • ФайлыFiles
  • Сообщения электронной почтыEmails
  • Кластеры электронной почтыEmail clusters
  • Почтовые ящикиMailboxes
  • ПользователиUsers
  • УстройстваDevices
  • IP-адресаIP addresses
  • URL-адресаURLs

Запрос сведений о событияхQuery for event information

При использовании go hunt для запроса сведений о событии временной шкалы запрос проверяет все соответствующие таблицы схемы для других событий во время выбранного события.When using go hunt to query for information about a timeline event, the query checks all relevant schema tables for other events around the time of the selected event. Например, в следующих запросах перечислены события в различных таблицах схем, которые происходили примерно в один и тот же период времени на одном устройстве:For example, the following query lists events in various schema tables that occurred around the same time period on the same device:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Настройка запросаAdjust the query

С некоторым знанием языка запросаможно настроить запрос на свои предпочтения.With some knowledge of the query language, you can adjust the query to your preference. Например, можно настроить эту строку, которая определяет размер окна времени:For example, you can adjust this line, which determines the size of the time window:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Помимо изменения запроса, чтобы получить более релевантные результаты, вы также можете:In addition to modifying the query to get more relevant results, you can also:

Примечание

Некоторые таблицы в этой статье могут быть недоступны в Microsoft Defender для конечной точки.Some tables in this article might not be available in Microsoft Defender for Endpoint. Включи Microsoft 365 Defender для охоты на угрозы с помощью дополнительных источников данных.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Вы можете переместить расширенные процессы охоты из Microsoft Defender для конечной точки в Microsoft 365 Defender, следуя шагам в миграции расширенных запросов охоты из Microsoft Defender для конечнойточки .You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.