Microsoft Defender for Office 365的高级搜寻示例

适用于：

• Microsoft Defender XDR

想要开始使用高级搜索搜索电子邮件威胁？ 请尝试以下步骤：

Microsoft Defender for Office 365部署指南介绍了如何直接加入并在第 1 天开始配置。

根据 预设的安全策略与自定义策略选项， 零小时自动清除 (ZAP) 设置对于知道在传递后是否从邮箱中删除了恶意邮件非常重要。

快速导航到执行查询语言以搜索问题是聚合这两个安全中心的一个优势。 安全团队可以通过在搜寻>高级搜寻的 Microsoft Defender 门户中https://security.microsoft.com>执行后续步骤来监视 ZAP 未命中。

1. 在 的“高级搜寻”页上https://security.microsoft.com/v2/advanced-hunting，验证是否已选中“新建查询”选项卡。

2. 将以下查询复制到“ 查询 ”框中：

   EmailPostDeliveryEvents 
   | where Timestamp > ago(7d)
   //List malicious emails that were not zapped successfully
   | where ActionType has "ZAP" and ActionResult == "Error"
   | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
   //Get logon activity of recipients using RecipientEmailAddress and AccountUpn
   | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
   | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
   //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
   | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
   LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
   

3. 选择 运行查询。

此查询中的数据显示在查询本身下方的“ 结果 ”面板中。 结果在可自定义的结果集中包括 、 AccountDisplayName和 ZapTime 等DeviceName信息。 也可以为记录导出结果。 若要保存查询以供重复使用，请选择“另存为>”，将查询添加到查询、共享或社区查询列表。

相关信息

• 高级搜寻最佳做法
• 概述 - 高级搜寻

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender XDR技术社区。