Arbeta med avancerade frågeresultat för sökfrågor

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender
  • Microsoft Defender för Endpoint

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Du kan skapa avancerade sökfrågor för att få exakt information, men du kan också arbeta med frågeresultatet för att få ytterligare insikter och undersöka specifika aktiviteter och indikatorer. Du kan utföra följande åtgärder på dina frågeresultat:

  • Visa resultat som en tabell eller ett diagram
  • Exportera tabeller och diagram
  • Granska nedåt till detaljerad entitetsinformation
  • Justera frågorna direkt från resultatet eller använd filter

Visa frågeresultat som en tabell eller ett diagram

Som standard visar avancerad sökning frågeresultat som tabelldata. Du kan också visa samma data som ett diagram. Avancerad sökning har stöd för följande vyer:

Vytyp Beskrivning
Tabell Visar frågeresultatet i tabellformat
Stapeldiagram Återger en serie unika objekt på x-axeln som lodräta staplar vars höjd representerar numeriska värden från ett annat fält
Staplat stapeldiagram Återger en serie unika objekt på x-axeln som staplade lodräta staplar vars höjd representerar numeriska värden från ett eller flera andra fält
Cirkeldiagram Återger avsnittsdiagram som representerar unika element. Storleken på varje cirkel representerar numeriska värden från ett annat fält.
Ringdiagram Återger avsnittsbåge som representerar unika objekt. Längden på varje båge representerar numeriska värden från ett annat fält.
Linjediagram Ritar numeriska värden för en serie unika objekt och kopplar samman de ritade värdena
Punktdiagram Ritar numeriska värden för en serie unika objekt
Areadiagram Ritar numeriska värden för en serie unika objekt och fyller i avsnitten under de uppritade värdena

Skapa frågor för effektiva diagram

Vid rendering av diagram identifierar avancerad sökning automatiskt kolumner av intresse och de numeriska värden som ska aggregeras. Skapa meningsfulla diagram genom att skapa frågor för att returnera de specifika värden som du vill se visualiserade. Här är några exempelfrågor och de resulterande diagrammen.

Aviseringar efter allvarlighetsgrad

Använd summarize operatorn för att räkna antalet värden som ska visas i diagrammet. I frågan nedan används summarize operatorn för att få antalet varningar med allvarlighetsgrad.

AlertInfo
| summarize Total = count() by Severity

När resultatet återges visas varje allvarlighetsgrad i ett stapeldiagram som en separat kolumn:

Bild av avancerade frågeresultat för sökning som visas som ett stapeldiagram. Frågeresultat för aviseringar per allvarlighetsgrad som visas som ett stapeldiagram

Nätfiskemeddelanden i topp tio avsändardomäner

Om du hanterar en lista med värden som inte är ändliga kan du använda operatorn för att visa endast de värden som har Top flest förekomster. Om du till exempel vill ha de tio vanligaste avsändardomänerna med flest nätfiskemeddelanden använder du frågan nedan:

EmailEvents
| where ThreatTypes has "Phish" 
| summarize Count = count() by SenderFromDomain 
| top 10 by Count

Använd vyn cirkeldiagram för att effektivt visa distribution över de övre domänerna:

Bild av avancerade frågeresultat för sökning som visas som ett cirkeldiagram. Cirkeldiagram som visar distribution av nätfiskemeddelanden över de övre avsändardomänerna

Filaktiviteter över tid

Med hjälp summarize av operatorn bin() med funktionen kan du söka efter händelser som innefattar en viss indikator över tid. I frågan nedan räknas händelser som innefattar filen med 30 minuters intervall invoice.doc för att visa insamlingar i aktivitet relaterad till den filen:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

I linjediagrammet nedan markeras tidsperioder tydligt med mer aktivitet som invoice.doc innefattar:

Bild av avancerade frågeresultat för sökning som visas som ett linjediagram. Linjediagram som visar antalet händelser som innefattar en fil över tid

Exportera tabeller och diagram

När du har kört en fråga väljer du Exportera för att spara resultaten i en lokal fil. Den valda vyn avgör hur resultatet exporteras:

  • Tabellvy – frågeresultatet exporteras i tabellform som en tabell som Microsoft Excel arbetsbok
  • Alla diagram – frågeresultatet exporteras som en JPEG-bild av det återgivna diagrammet

Öka detalj detalj detalj för frågeresultat

Om du snabbt vill granska en post i dina frågeresultat markerar du motsvarande rad för att öppna panelen Kontrollera post. Panelen innehåller följande information baserad på den valda posten:

  • Tillgångar – sammanfattad vy över huvudtillgångarna (postlådor, enheter och användare) i posten, bättre beskad med tillgänglig information, t.ex. risk- och exponeringsnivåer
  • All information – alla värden från kolumnerna i posten

Bild av markerad post med panel för att kontrollera posten.

Om du vill visa mer information om en specifik entitet i frågeresultatet, till exempel en dator, fil, användare, IP-adress eller URL väljer du entitetsidentifieraren för att öppna en detaljerad profilsida för enheten.

Justera frågorna från resultatet

Markera de tre punkterna till höger om valfri kolumn i panelen Kontrollera post. Du kan använda alternativen för att:

  • Leta explicit efter det markerade värdet ( == )
  • Utesluta det valda värdet från frågan ( != )
  • Få mer avancerade operatorer för att lägga till värdet i frågan, till exempel contains starts with , och ends with

Bild på avancerad uppsättning med resultat för sökning.

Anteckning

Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Endpoint till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.