Lär dig det avancerade frågespråket för jakt

Obs!

Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.

Gäller för:

• Microsoft Defender XDR

Avancerad jakt baseras på Kusto-frågespråket. Du kan använda Kusto-operatorer och -instruktioner för att skapa frågor som hittar information i ett specialiserat schema.

Titta på den här korta videon för att lära dig några praktiska grunderna i Kusto-frågespråk.

Om du vill förstå dessa begrepp bättre kör du din första fråga.

Prova din första fråga

I Microsoft Defender-portalen går du till Jakt för att köra din första fråga. Använd följande exempel:

// Finds PowerShell execution events that could involve a download
union DeviceProcessEvents, DeviceNetworkEvents
| where Timestamp > ago(7d)
// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")
// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
 "DownloadFile",
 "DownloadData",
 "DownloadString",
"WebRequest",
"Shellcode",
"http",
"https")
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp

Kör den här frågan i avancerad jakt

Beskriv frågan och ange de tabeller som ska sökas

En kort kommentar har lagts till i början av frågan för att beskriva vad den är till för. Den här kommentaren hjälper dig om du senare bestämmer dig för att spara frågan och dela den med andra i din organisation.

// Finds PowerShell execution events that could involve a download

Själva frågan börjar vanligtvis med ett tabellnamn följt av flera element som börjar med ett pipe (|). I det här exemplet börjar vi med att skapa en union med två tabeller och DeviceProcessEventsDeviceNetworkEvents, och lägger till pipade element efter behov.

union DeviceProcessEvents, DeviceNetworkEvents

Ange tidsintervallet

Det första piped-elementet är ett tidsfilter som är begränsat till de föregående sju dagarna. Genom att begränsa tidsintervallet ser du till att frågorna fungerar bra, returnerar hanterbara resultat och inte överskrider tidsgränsen.

| where Timestamp > ago(7d)

Obs!

Kusto-tidsfilter finns i UTC oavsett vilken tidszon du angav i inställningarna.

Kontrollera specifika processer

Tidsintervallet följs omedelbart av en sökning efter processfilnamn som representerar PowerShell-programmet.

// Pivoting on PowerShell processes
| where FileName in~ ("powershell.exe", "powershell_ise.exe")

Search för specifika kommandosträngar

Efteråt letar frågan efter strängar i kommandorader som vanligtvis används för att ladda ned filer med Hjälp av PowerShell.

// Suspicious commands
| where ProcessCommandLine has_any("WebClient",
    "DownloadFile",
    "DownloadData",
    "DownloadString",
    "WebRequest",
    "Shellcode",
    "http",
    "https")

Anpassa resultatkolumner och längd

Nu när frågan tydligt identifierar de data som du vill hitta kan du definiera hur resultatet ser ut. project returnerar specifika kolumner och top begränsar antalet resultat. De här operatorerna hjälper till att säkerställa att resultaten är välformaterade och relativt stora och enkla att bearbeta.

| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine,
FileName, ProcessCommandLine, RemoteIP, RemoteUrl, RemotePort, RemoteIPType
| top 100 by Timestamp

Välj Kör fråga för att se resultatet.

Tips

Du kan visa frågeresultat som diagram och snabbt justera filter. Mer information finns i arbeta med frågeresultat

Lär dig vanliga frågeoperatorer

Du har precis kört din första fråga och har en allmän uppfattning om dess komponenter. Det är dags att backa lite och lära sig några grunder. Kusto-frågespråket som används av avancerad jakt stöder en rad operatorer, inklusive följande vanliga.

Operatör	Beskrivning och användning
where	Filtrera en tabell till den delmängd av rader som uppfyller ett predikat.
summarize	Skapa en tabell som aggregerar innehållet i indatatabellen.
join	Sammanfoga raderna i två tabeller för att skapa en ny tabell genom att matcha värdena för de angivna kolumnerna från varje tabell. Titta på Ansluta tabeller i KQL för att lära dig hur.
count	Returnera antalet poster i indatapostuppsättningen.
top	Returnera de första N-posterna sorterade efter de angivna kolumnerna.
limit	Återgå till det angivna antalet rader.
project	Välj de kolumner som ska inkluderas, byt namn på eller släpp och infoga nya beräknade kolumner.
extend	Skapa beräknade kolumner och lägg till dem i resultatuppsättningen.
makeset	Returnera en dynamisk matris (JSON) med den uppsättning distinkta värden som Expr tar i gruppen.
find	Hitta rader som matchar ett predikat i en uppsättning tabeller.

Om du vill se ett live-exempel på dessa operatorer kör du dem från avsnittet Kom igång i avancerad jakt.

Förstå datatyper

Avancerad jakt stöder Kusto-datatyper, inklusive följande vanliga typer:

Datatyp	Beskrivning och frågekonsekvenser
datetime	Data och tidsinformation representerar vanligtvis händelsetidsstämplar. Se datetime-format som stöds
string	Teckensträng i UTF-8 omges av enkla citattecken (') eller dubbla citattecken ("). Läs mer om strängar
bool	Den här datatypen stöder true eller false tillstånd. Se literaler och operatorer som stöds
int	32-bitars heltal
long	64-bitars heltal

Om du vill veta mer om dessa datatyper kan du läsa mer om kusto-skalärdatatyper.

Få hjälp när du skriver frågor

Dra nytta av följande funktioner för att skriva frågor snabbare:

• Automatiska förslag – när du skriver frågor ger avancerad jakt förslag från IntelliSense.
• Schematräd – en schemarepresentation som innehåller listan över tabeller och deras kolumner finns bredvid ditt arbetsområde. Hovra över ett objekt om du vill ha mer information. Dubbelklicka på ett objekt för att infoga det i frågeredigeraren.
• Schemareferens – referens i portalen med tabell- och kolumnbeskrivningar samt händelsetyper som stöds (ActionType värden) och exempelfrågor

Arbeta med flera frågor i redigeraren

Du kan använda frågeredigeraren för att experimentera med flera frågor. Så här använder du flera frågor:

• Avgränsa varje fråga med en tom rad.
• Placera markören på valfri del av en fråga för att välja frågan innan du kör den. Detta kör endast den valda frågan. Om du vill köra en annan fråga flyttar du markören därefter och väljer Kör fråga.

För en effektivare arbetsyta kan du också använda flera flikar på samma jaktsida. Välj Ny fråga för att öppna en flik för den nya frågan.

Du kan sedan köra olika frågor utan att behöva öppna en ny webbläsarflik.

Obs!

Om du använder flera webbläsarflikar med avancerad jakt kan du förlora dina frågor som inte har sparats. Om du vill förhindra detta använder du tabbfunktionen i avancerad jakt i stället för separata webbläsarflikar.

Använda exempelfrågor

Avsnittet Kom igång innehåller några enkla frågor med vanliga operatorer. Prova att köra dessa frågor och göra små ändringar i dem.

Obs!

Förutom de grundläggande frågeexemplen kan du även komma åt delade frågor för specifika hotjaktscenarier. Utforska delade frågor till vänster på sidan eller GitHub-frågelagringsplatsen.

Dokumentation om åtkomst till frågespråk

Mer information om Kusto-frågespråk och operatorer som stöds finns i dokumentationen för Kusto-frågespråk.

Obs!

Vissa tabeller i den här artikeln kanske inte är tillgängliga i Microsoft Defender för Endpoint. Aktivera Microsoft Defender XDR för att söka efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade jaktarbetsflöden från Microsoft Defender för Endpoint till Microsoft Defender XDR genom att följa stegen i Migrera avancerade jaktfrågor från Microsoft Defender för Endpoint.

Relaterade ämnen

• Översikt över avancerad jakt
• Arbeta med frågeresultat
• Använda delade frågor
• Jaga över olika enheter, e-postmeddelanden, appar och identiteter
• Förstå schemat
• Använda metodtips för frågor

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.