Arbeta med avancerade frågeresultat för sökfrågor
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Du kan skapa avancerade sökfrågor för att få exakt information, men du kan också arbeta med frågeresultatet för att få ytterligare insikter och undersöka specifika aktiviteter och indikatorer. Du kan utföra följande åtgärder på dina frågeresultat:
- Visa resultat som en tabell eller ett diagram
- Exportera tabeller och diagram
- Granska nedåt till detaljerad entitetsinformation
- Justera frågorna direkt från resultatet eller använd filter
Visa frågeresultat som en tabell eller ett diagram
Som standard visar avancerad sökning frågeresultat som tabelldata. Du kan också visa samma data som ett diagram. Avancerad sökning har stöd för följande vyer:
| Vytyp | Beskrivning |
|---|---|
| Tabell | Visar frågeresultatet i tabellformat |
| Stapeldiagram | Återger en serie unika objekt på x-axeln som lodräta staplar vars höjd representerar numeriska värden från ett annat fält |
| Staplat stapeldiagram | Återger en serie unika objekt på x-axeln som staplade lodräta staplar vars höjd representerar numeriska värden från ett eller flera andra fält |
| Cirkeldiagram | Återger avsnittsdiagram som representerar unika element. Storleken på varje cirkel representerar numeriska värden från ett annat fält. |
| Ringdiagram | Återger avsnittsbåge som representerar unika objekt. Längden på varje båge representerar numeriska värden från ett annat fält. |
| Linjediagram | Ritar numeriska värden för en serie unika objekt och kopplar samman de ritade värdena |
| Punktdiagram | Ritar numeriska värden för en serie unika objekt |
| Areadiagram | Ritar numeriska värden för en serie unika objekt och fyller i avsnitten under de uppritade värdena |
Skapa frågor för effektiva diagram
Vid rendering av diagram identifierar avancerad sökning automatiskt kolumner av intresse och de numeriska värden som ska aggregeras. Skapa meningsfulla diagram genom att skapa frågor för att returnera de specifika värden som du vill se visualiserade. Här är några exempelfrågor och de resulterande diagrammen.
Aviseringar efter allvarlighetsgrad
Använd summarize operatorn för att räkna antalet värden som ska visas i diagrammet. I frågan nedan används summarize operatorn för att få antalet varningar med allvarlighetsgrad.
AlertInfo
| summarize Total = count() by Severity
När resultatet återges visas varje allvarlighetsgrad i ett stapeldiagram som en separat kolumn:
Frågeresultat för aviseringar per allvarlighetsgrad som visas som ett stapeldiagram
Nätfiskemeddelanden i topp tio avsändardomäner
Om du hanterar en lista med värden som inte är ändliga kan du använda operatorn för att visa endast de värden som har Top flest förekomster. Om du till exempel vill ha de tio vanligaste avsändardomänerna med flest nätfiskemeddelanden använder du frågan nedan:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Använd vyn cirkeldiagram för att effektivt visa distribution över de övre domänerna:
Cirkeldiagram som visar distribution av nätfiskemeddelanden över de övre avsändardomänerna
Filaktiviteter över tid
Med hjälp summarize av operatorn bin() med funktionen kan du söka efter händelser som innefattar en viss indikator över tid. I frågan nedan räknas händelser som innefattar filen med 30 minuters intervall invoice.doc för att visa insamlingar i aktivitet relaterad till den filen:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
I linjediagrammet nedan markeras tidsperioder tydligt med mer aktivitet som invoice.doc innefattar:
Linjediagram som visar antalet händelser som innefattar en fil över tid
Exportera tabeller och diagram
När du har kört en fråga väljer du Exportera för att spara resultaten i en lokal fil. Den valda vyn avgör hur resultatet exporteras:
- Tabellvy – frågeresultatet exporteras i tabellform som en tabell som Microsoft Excel arbetsbok
- Alla diagram – frågeresultatet exporteras som en JPEG-bild av det återgivna diagrammet
Öka detalj detalj detalj för frågeresultat
Om du snabbt vill granska en post i dina frågeresultat markerar du motsvarande rad för att öppna panelen Kontrollera post. Panelen innehåller följande information baserad på den valda posten:
- Tillgångar – sammanfattad vy över huvudtillgångarna (postlådor, enheter och användare) i posten, bättre beskad med tillgänglig information, t.ex. risk- och exponeringsnivåer
- All information – alla värden från kolumnerna i posten

Om du vill visa mer information om en specifik entitet i frågeresultatet, till exempel en dator, fil, användare, IP-adress eller URL väljer du entitetsidentifieraren för att öppna en detaljerad profilsida för enheten.
Justera frågorna från resultatet
Markera de tre punkterna till höger om valfri kolumn i panelen Kontrollera post. Du kan använda alternativen för att:
- Leta explicit efter det markerade värdet (
==) - Utesluta det valda värdet från frågan (
!=) - Få mer avancerade operatorer för att lägga till värdet i frågan, till exempel
containsstarts with, ochends with

Anteckning
Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft 365 Defender för att leta efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade arbetsflöden för sökning från Microsoft Defender för Endpoint till Microsoft 365 Defender genom att följa stegen i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.