Snabbt jaga efter entitets- eller händelseinformation med go-huntQuickly hunt for entity or event information with go hunt

Viktigt

Det förbättrade Microsoft 365 Säkerhetscenter är nu tillgänglig.The improved Microsoft 365 security center is now available. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office, 365 Microsoft 365 Defender och annat till Microsoft 365 säkerhetscenter.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Läs om de senaste.Learn what's new.

Gäller för:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender för EndpointMicrosoft Defender for Endpoint

Med sökåtgärden sök kan du snabbt undersöka händelser och olika entitetstyper med hjälp av kraftfulla frågebaserade, avancerade sökfunktioner.With the go hunt action, you can quickly investigate events and various entity types using powerful query-based advanced hunting capabilities. Den här åtgärden kör automatiskt en avancerad fråga för att hitta relevant information om den valda händelsen eller enheten.This action automatically runs an advanced hunting query to find relevant information about the selected event or entity.

Åtgärden gåsök är tillgänglig i olika delar av säkerhetscentret när händelse- eller entitetsinformation visas.The go hunt action is available in various sections of the security center whenever event or entity details are displayed. Du kan till exempel använda gå jag från följande avsnitt:For example, you can use go hunt from the following sections:

  • incidentsidan kandu granska information om användare, enheter och många andra enheter som är kopplade till ett problem.In the incident page, you can review details about users, devices, and many other entities associated with an incident. När du väljer en entitet får du ytterligare information samt olika åtgärder du kan utföra på den enheten.As you select an entity, you get additional information as well as various actions you could take on that entity. I exemplet nedan är en postlåda markerad och visar information om postlådan samt alternativet för att leta efter mer information om postlådan.In the example below, a mailbox is selected, showing details about the mailbox as well the option to hunt for more information about the mailbox.

    Bild som visar postlådeinformation med alternativet gå-jaga

  • På incidentsidan kan du också komma åt en lista över enheter under bevisfliken. Om du väljer en av dessa enheter kan du snabbt jaga efter information om den enheten.In the incident page, you can also access a list of entities under the evidence tab. Selecting one of those entities provides an option to quickly hunt for information about that entity.

    Bild som visar markerad fil med alternativet gå jaga på fliken Bevis

  • När du visar tidslinjen för en enhet kan du välja en händelse på tidslinjen om du vill visa ytterligare information om händelsen.When viewing the timeline for a device, you can select an event in the timeline to view additional information about that event. När en händelse har valts får du möjlighet att leta efter andra relevanta händelser vid avancerad sökning.Once an event is selected, you get the option to hunt for other relevant events in advanced hunting.

    Bild som visar händelseinformation med alternativet gå-jaga

Om du väljer Sök efter sök eller Sök efter relaterade händelser passeras olika frågor, beroende på om du har valt en enhet eller en händelse.Selecting Go hunt or Hunt for related events passes different queries, depending on whether you've selected an entity or an event.

Fråga för entitetsinformationQuery for entity information

När du använder go hunt to query för information om en användare, enhet eller någon annan typ av entitet, kontrollerar frågan alla relevanta schematabeller för alla händelser som innefattar den enheten.When using go hunt to query for information about a user, device, or any other type of entity, the query checks all relevant schema tables for any events involving that entity. För att resultatet ska kunna hanteras är frågan begränsad till ungefär samma tidsperiod som den tidigaste aktiviteten under de senaste 30 dagarna som innefattar enheten och som är kopplad till händelsen.To keep the results manageable, the query is scoped to around the same time period as the earliest activity in the past 30 days that involves the entity and is associated with the incident.

Här är ett exempel på sökfrågan för en enhet:Here is an example of the go hunt query for a device:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Entitetstyper som stödsSupported entity types

Du kan använda gåsök när du har valt någon av följande entitetstyper:You can use go hunt after selecting any of these entity types:

  • FilerFiles
  • E-postmeddelandenEmails
  • E-postklusterEmail clusters
  • PostlådorMailboxes
  • AnvändareUsers
  • EnheterDevices
  • IP-adresserIP addresses
  • URL:erURLs

Fråga för händelseinformationQuery for event information

När du använder sökfråga efter information om en tidslinjehändelse söker frågan i alla relevanta schematabeller efter andra händelser vid tidpunkten för den valda händelsen.When using go hunt to query for information about a timeline event, the query checks all relevant schema tables for other events around the time of the selected event. Följande fråga visar till exempel händelser i olika schematabeller som inträffade ungefär samma tidsperiod på samma enhet:For example, the following query lists events in various schema tables that occurred around the same time period on the same device:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Justera fråganAdjust the query

Om du har viss kunskap om frågespråketkan du justera frågan efter dina önskemål.With some knowledge of the query language, you can adjust the query to your preference. Du kan till exempel justera den här raden, som bestämmer storleken på tidsfönstret:For example, you can adjust this line, which determines the size of the time window:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Förutom att ändra frågan för att få mer relevanta resultat kan du också:In addition to modifying the query to get more relevant results, you can also:

Anteckning

Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint.Some tables in this article might not be available in Microsoft Defender for Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.