Få expertutbildning om avancerad sökning

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender
  • Microsoft Defender för Endpoint

Förbättra dina kunskaper om avancerad sökning snabbt med Tracking the adversary, en webcast-serie för nya säkerhetsanalytiker och rutinerade hot. Serien leder dig genom grunderna hela vägen till att skapa dina egna avancerade frågor. Börja med den första videon som är grundläggande, eller gå till mer avancerade videor som passar din upplevelse.

Rubrik Beskrivning Titta Frågor
Avsnitt 1: Grunderna i KQL Det här avsnittet beskriver grunderna i avancerad sökning Microsoft 365 Defender. Läs mer om tillgängliga avancerade data för sökning och grundläggande KQL-syntax och -operatorer. YouTube (54:14) Textfil
Avsnitt 2: Kopplingar Fortsätt med utbildning om data i avancerad sökning och hur du sammanfogar tabeller. Läs mer inner om , , och outer unique semi kopplingar, och förstå nyanserna hos standardkopplingen till innerunique Kusto. YouTube (53:33) Textfil
Avsnitt 3: Sammanfatta, pivotera och visualisera data Nu när du har lärt dig att filtrera, manipulera och sammanfoga data är det dags att sammanfatta, analysera, pivotera och visualisera. I det här avsnittet diskuteras summarize operatorn och olika beräkningar, samtidigt som ytterligare tabeller introduceras i schemat. Du får också lära dig att omvandla datauppsättningar till diagram som kan hjälpa dig att extrahera information. YouTube (48:52) Textfil
Avsnitt 4: Vi jagar! Tillämpa KQL på incidentspårning I det här avsnittet får du lära dig att spåra vissa attacker. Vi använder vår förbättrade förståelse av Kusto och avancerad sökning för att spåra en attack. Lär dig mer om faktiska trick som används inom fältet, bland annat abcs för cybersäkerhet och hur du tillämpar dem på incidentsvar. YouTube (59:36) Textfil

Få mer expertutbildning med L33TSP3AK: Avancerad sökning i Microsoft 365 Defender , en webcast-serie för analytiker som vill utöka sina tekniska kunskaper och praktiska kunskaper i att genomföra säkerhetsundersökningar med avancerad sökning i Microsoft 365 Defender.

Rubrik Beskrivning Titta Frågor
Avsnitt 1 I det här avsnittet får du lära dig olika metodtips för att köra avancerade sökfrågor. Bland ämnena som behandlas finns: hur du optimerar dina frågor, använder avancerad sökning för utpressningstrojaner, hanterar JSON som en dynamisk typ och arbetar med externa dataoperatorer. YouTube (56:34) Textfil
Avsnitt 2 I det här avsnittet får du lära dig att undersöka och svara på misstänkta eller ovanliga inloggningsplatser och datainloggning via regler för vidarebefordran av inkorgen. Sebastien Molendijk, Senior Program Manager for Cloud Security CxE, delar med sig av hur du använder avancerad sökning för att undersöka flerstegsincidenter med Microsoft Defender för data om molnappar. YouTube (57:07) Textfil
Avsnitt 3 I det här avsnittet beskriver vi de senaste förbättringarna av avancerad sökning, import av en extern datakälla till frågan och hur du använder partitionering för att dela upp stora frågeresultat i mindre resultatuppsättningar för att undvika att nå API-gränser. YouTube (40:59) Textfil

Så här använder du CSL-filen

Innan du påbörjar ett avsnitt öppnar du motsvarande textfil på GitHub kopierar innehållet till den avancerade frågeredigeraren för sökning. När du tittar på ett avsnitt kan du använda det kopierade innehållet för att följa talaren och köra frågor.

Följande utdrag från en textfil som innehåller frågorna visar en omfattande uppsättning vägledning markerad som kommentarer med // .

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

Samma textfil innehåller frågor före och efter kommentarerna som visas nedan. Om du vill köra en specifik fråga med flera frågor i redigerarenflyttar du markören till den frågan och väljer Kör fråga.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc