Exempel på avancerad sökning för Microsoft Defender för Office 365
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Vill du komma igång med att söka efter e-posthot med avancerad sökning? Prova det här:
Avsnittet Komma igång i artikeln Microsoft Defender för Office 365 har en logisk tidig konfigurationsdel som ser ut så här:
- Konfigurera allt med "Anti" i namnet.
- Skydd mot skadlig programvara
- Skydd mot nätfiske
- Skräppostskydd
- Konfigurera allt med "Valv" i namnet.
- Säkra länkar
- Säkra bifogade filer
- Försvara arbets belastningarna (t. ex. SharePoint Online, OneDrive och Teams).
- Skydda med automatisk rensning utan timme.
Tillsammans med en länk kan du hoppa direkt in och få igång konfigurationen dag 1.
Det sista steget i Komma igång skyddar användare med Automatisk rensning, även kallat ZAP. Det kan vara mycket viktigt att veta om du har lyckats med ZAP:a ett misstänkt eller skadligt e-postmeddelande efter leverans.
Att snabbt kunna navigera till Kusto frågespråk för att leta efter problem är en fördel med konvergering av dessa två säkerhetscenter. Säkerhetsteam kan övervaka ZAP-misser genom att vidta nästa steg här,under Sökning > efter avancerad sökning.
- På sidan Advanced Hunting klickar du på Query.
- Kopiera frågan nedan till frågefönstret.
- Välj Kör fråga.
EmailPostDeliveryEvents
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfullyconverge-2-endpoints-new.png
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn,
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
Data från den här frågan visas i resultatpanelen under själva frågan. Resultaten innehåller information som ‘Enhetsnamn’, ‘KontoVisningsNamn’ och ‘ZapTid’ i en anpassningsbar resultatuppsättning. Resultat kan även exporteras för posterna. Om frågan är en du behöver igen väljer du Spara > Spara som och lägger till frågan i din lista med frågor, delade frågor eller communityfrågor.