Snabbt jaga efter entitets- eller händelseinformation med go hunt
Gäller för:
- Microsoft Defender XDR
Med go hunt-åtgärden kan du snabbt undersöka händelser och olika entitetstyper med hjälp av kraftfulla frågebaserade avancerade jaktfunktioner . Den här åtgärden kör automatiskt en avancerad jaktfråga för att hitta relevant information om den valda händelsen eller entiteten.
Go Hunt-åtgärden finns i olika delar av Microsoft Defender XDR. Den här åtgärden är tillgänglig för att visa när händelse- eller entitetsinformation visas. Du kan till exempel använda alternativet go hunt i följande avsnitt:
På incidentsidan kan du granska information om användare, enheter och många andra entiteter som är associerade med en incident. När du väljer en entitet får du ytterligare information och de olika åtgärder som du kan vidta för den entiteten. I exemplet nedan väljs en postlåda som visar information om postlådan och alternativet att söka efter mer information om postlådan.
På incidentsidan kan du också komma åt en lista över entiteter under fliken Bevis . Om du väljer en av dessa entiteter kan du snabbt söka efter information om entiteten.
När du visar tidslinjen för en enhet kan du välja en händelse på tidslinjen för att visa ytterligare information om händelsen. När ett evenemang har valts får du möjlighet att jaga andra relevanta händelser i avancerad jakt.
Om du väljer Gå jaga eller Jaga efter relaterade händelser skickas olika frågor, beroende på om du har valt en entitet eller en händelse.
Fråga efter entitetsinformation
Du kan använda go hunt för att fråga efter information om en användare, enhet eller någon annan typ av entitet. frågan kontrollerar alla relevanta schematabeller efter händelser som involverar entiteten för att returnera information. För att hålla resultatet hanterbart är frågan:
- begränsad till ungefär samma tidsperiod som den tidigaste aktiviteten under de senaste 30 dagarna som involverar entiteten
- associerat med incidenten.
Här är ett exempel på go hunt-frågan för en enhet:
let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100
Entitetstyper som stöds
Du kan använda alternativet go hunt när du har valt någon av dessa entitetstyper:
- Enheter
- Email kluster
- Filer
- Grupper
- IP-adresser
- Postlådor
- Användare
- Webbadresser
Fråga efter händelseinformation
När du använder go hunt för att fråga efter information om en tidslinjehändelse kontrollerar frågan alla relevanta schematabeller efter andra händelser runt tidpunkten för den valda händelsen. Följande fråga visar till exempel händelser i olika schematabeller som inträffat ungefär samma tidsperiod på samma enhet:
// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance
Justera frågan
Med viss kunskap om frågespråket kan du justera frågan efter dina önskemål. Du kan till exempel justera den här raden, som avgör tidsfönstrets storlek:
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
Förutom att ändra frågan för att få mer relevanta resultat kan du också:
Obs!
Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft Defender XDR för att söka efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade jaktarbetsflöden från Microsoft Defender för Endpoint till Microsoft Defender XDR genom att följa stegen i Migrera avancerade jaktfrågor från Microsoft Defender för Endpoint.
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Arbeta med frågeresultat
- Anpassade regler för identifiering
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för