Sdílet prostřednictvím

Vytváření dotazů proaktivního vyhledávání pomocí režimu s asistencí v Microsoft Defender

  • Článek

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Tvůrce dotazů v režimu s asistencí umožňuje analytikům vytvářet smysluplné dotazy proaktivního vyhledávání bez znalosti dotazovací jazyk Kusto (KQL) nebo datového schématu. Analytici z každé úrovně prostředí můžou pomocí tvůrce dotazů filtrovat data z posledních 30 dnů a hledat hrozby, rozšiřovat vyšetřování incidentů, provádět analýzu dat o hrozbách nebo se zaměřit na konkrétní oblasti hrozeb.

Analytik si může vybrat, na kterou sadu dat se má podívat a které filtry a podmínky použije, aby data zúžila na to, co potřebuje.

Pokud chcete získat přehled o proaktivním vyhledávání s asistencí, můžete watch toto video:

Otevřít dotaz v tvůrci

Na stránce Rozšířené proaktivní vyhledávání vyberte Vytvořit nový , otevřete novou kartu dotazu a vyberte Dotaz v tvůrci.

Snímek obrazovky s tvůrcem dotazů v režimu s asistencí

Tím přejdete do režimu s asistencí, kde pak můžete vytvořit dotaz výběrem různých komponent pomocí rozevíracích nabídek.

Zadejte doménu dat, ve které se má lovit.

Rozsah proaktivního vyhledávání můžete řídit tak, že vyberete doménu, na kterou se dotaz vztahuje:

Snímek obrazovky s rozevíracím seznamem domén tvůrce dotazů v režimu s asistencí

Výběr možnosti Vše zahrnuje data ze všech domén, ke kterým máte aktuálně přístup. Zúžení na konkrétní doménu umožňuje filtry relevantní pouze pro danou doménu.

Můžete si vybrat z:

  • Všechny domény – Umožňuje projít si všechna dostupná data v dotazu.
  • Koncové body – umožňuje procházet data koncových bodů tak, jak je poskytuje Microsoft Defender for Endpoint.
  • Email a spolupráce – pokud chcete procházet data e-mailu a aplikací pro spolupráci, jako je SharePoint, OneDrive a další, uživatelé obeznámení s Průzkumníkem hrozeb najdou stejná data tady.
  • Aplikace a identity – Pokud chcete procházet data aplikací a identit, jak je poskytují Microsoft Defender for Cloud Apps a Microsoft Defender for Identity, uživatelé obeznámení s protokolem aktivit najdou stejná data tady.
  • Cloudová infrastruktura – umožňuje procházet data cloudové infrastruktury tak, jak je poskytuje Microsoft Defender for Cloud.
  • Řízení expozice – Umožňuje projít si data správy expozic, která poskytuje Správa míry rizika zabezpečení od Microsoftu.

Použití základních filtrů

Ve výchozím nastavení obsahuje proaktivní vyhledávání s asistencí několik základních filtrů, které vám pomůžou rychle začít.

Snímek obrazovky se základní sadou filtrů tvůrce dotazů v režimu s asistencí

Když zvolíte jeden zdroj dat, například Koncové body, tvůrce dotazů zobrazí pouze příslušné skupiny filtrů. Pak můžete vybrat filtr, který chcete zúžit, tak, že vyberete tuto skupinu filtrů, například EventType, a vyberete filtr podle svého výběru.

Snímek obrazovky se základní sadou filtrů koncového bodu tvůrce dotazů s asistencí

Jakmile bude dotaz připravený, vyberte modré tlačítko Spustit dotaz . Pokud je tlačítko neaktivní, znamená to, že dotaz je potřeba vyplnit nebo dále upravit.

Poznámka

Základní zobrazení filtru používá pouze operátor AND , což znamená, že spuštěním dotazu se vygenerují výsledky, pro které platí všechny nastavené filtry.

Načtení ukázkových dotazů

Dalším rychlým způsobem, jak se seznámit s proaktivním vyhledáváním s asistencí, je načtení ukázkových dotazů pomocí rozevírací nabídky Načíst ukázkové dotazy . Snímek obrazovky se seznamem načtení ukázkových dotazů tvůrce dotazů v režimu s asistencí

Poznámka

Výběrem ukázkového dotazu přepíšete existující dotaz.

Po načtení ukázkového dotazu vyberte Spustit dotaz.

Snímek obrazovky s načtenými dotazy tvůrce dotazů v režimu s asistencí

Pokud jste dříve vybrali doménu, seznam dostupných ukázkových dotazů se odpovídajícím způsobem změní.

Snímek obrazovky se seznamem s omezeným přístupem tvůrce dotazů v režimu s asistencí

Pokud chcete obnovit úplný seznam ukázkových dotazů, vyberte Všechny domény a pak znovu otevřete Načíst ukázkové dotazy.

Pokud načtený ukázkový dotaz používá filtry mimo základní sadu filtrů, přepínací tlačítko se zobrazí šedě. Pokud se chcete vrátit k základní sadě filtrů, vyberte Vymazat vše a přepněte všechny filtry.

Použití dalších filtrů

Pokud chcete zobrazit další skupiny filtrů a podmínky, vyberte Přepnout a zobrazte další filtry a podmínky.

Snímek obrazovky s přepínačem Další filtry v tvůrci dotazů v režimu s asistencí

Když je přepínač Všechny filtry aktivní, můžete teď používat celou škálu filtrů a podmínek v režimu s asistencí.

Snímek obrazovky s tvůrcem dotazů v režimu s asistencí– všechny aktivní filtry

Vytvoření podmínek

Pokud chcete zadat sadu dat, která se mají v dotazu použít, vyberte Vybrat filtr. Prozkoumejte různé oddíly filtrů a zjistěte, co máte k dispozici.

Snímek obrazovky s různými filtry, které můžete použít

Zadejte názvy oddílů do vyhledávacího pole v horní části seznamu a vyhledejte filtr. Oddíly končící na informace obsahují filtry, které poskytují informace o různých komponentách, na které se můžete podívat, a filtry pro stavy entit. Oddíly končící na události obsahují filtry, které umožňují vyhledat všechny monitorované události v entitě. Například k vyhledávání aktivit zahrnujících určitá zařízení můžete použít filtry v části Události zařízení .

Poznámka

Výběrem filtru, který není v seznamu základních filtrů, se přepínač deaktivuje nebo zašedne, aby se vrátil do zobrazení základních filtrů. Pokud chcete resetovat dotaz nebo odebrat existující filtry v aktuálním dotazu, vyberte Vymazat vše. Tím se také znovu aktivuje seznam základních filtrů.

Dále nastavte odpovídající podmínku pro další filtrování dat tak, že je vyberete z druhé rozevírací nabídky a v případě potřeby zadáte položky do třetí rozevírací nabídky:

Snímek obrazovky znázorňující různé podmínky, které můžete použít

Další podmínky můžete do dotazu přidat pomocí podmínek AND a OR . Funkce AND vrátí výsledky, které splňují všechny podmínky dotazu, zatímco funkce OR vrátí výsledky, které splňují některou z podmínek v dotazu.

Snímek obrazovky s operátory AND OR

Upřesnění dotazu vám umožní automaticky procházet objemné záznamy a vygenerovat seznam výsledků, které už cílí na vaši konkrétní potřebu proaktivního vyhledávání hrozeb.

Informace o podporovaných datových typech a dalších funkcích režimu s asistencí, které vám pomůžou vyladit dotaz, najdete v článku Upřesnění dotazu v režimu s asistencí.

Vyzkoušení ukázkových kroků k dotazům

Dalším způsobem, jak se seznámit s proaktivním vyhledáváním s asistencí, je načtení ukázkových dotazů předem vytvořených v režimu s asistencí.

V části Začínáme na stránce proaktivního vyhledávání jsme uvedli tři příklady dotazů s asistencí, které můžete načíst. Příklady dotazů obsahují některé z nejběžnějších filtrů a vstupů, které byste při proaktivním vyhledávání obvykle potřebovali. Načtením některého ze tří ukázkových dotazů se otevře prohlídka s asistencí, jak byste položku vytvořili pomocí režimu s asistencí.

Snímek obrazovky s úvodními návody k dotazům tvůrce dotazů v režimu s asistencí

Při vytváření dotazu postupujte podle pokynů v modrých výukových bublinách. Vyberte Spustit dotaz.

Vyzkoušejte některé dotazy.

Vyhledávání úspěšných připojení ke konkrétní IP adrese

Pokud chcete vyhledat úspěšnou síťovou komunikaci s konkrétní IP adresou, začněte psát "ip", abyste získali navrhované filtry:

Snímek obrazovky s vyhledáváním úspěšných připojení k určitému prvnímu filtru IP adres v tvůrci dotazů v režimu s asistencí

Pokud chcete vyhledat události týkající se konkrétní IP adresy, kde je IP adresa cílem komunikace, vyberte DestinationIPAddress v části Události IP adresy. Pak vyberte operátor rovná se . Do třetí rozevírací nabídky zadejte IP adresu a stiskněte Enter:

Snímek obrazovky s vyhledáváním úspěšných připojení k určité IP adrese v tvůrci dotazů v režimu s asistencí

Pokud chcete přidat druhou podmínku, která hledá úspěšné události síťové komunikace, vyhledejte filtr konkrétního typu události:

Snímek obrazovky s vyhledáváním dotazů v tvůrci dotazů v režimu s asistencí pro úspěšná připojení ke konkrétní IP adrese, druhá podmínka

Filtr EventType hledá zaprotokolované různé typy událostí. Je ekvivalentní sloupci ActionType , který existuje ve většině tabulek v rozšířeném proaktivním vyhledávání. Vyberte ho a zvolte jeden nebo více typů událostí, pro které chcete filtrovat. Pokud chcete vyhledat úspěšné události síťové komunikace, rozbalte část DeviceNetworkEvents a zvolte ConnectionSuccess:

Snímek obrazovky s vyhledáváním tvůrce dotazů v režimu s asistencí pro úspěšná připojení ke konkrétní třetí podmínce IP adresy

Nakonec vyberte Spustit dotaz , který vyhledá veškerou úspěšnou síťovou komunikaci na IP adresu 52.168.117.170:

Snímek obrazovky s vyhledáváním dotazů v tvůrci dotazů v režimu s asistencí pro úspěšná připojení ke konkrétním výsledkům IP adres

Hledání vysoce důvěryhodných phishingových nebo spamových e-mailů doručených do doručené pošty

Pokud chcete vyhledat všechny vysoce důvěryhodné phishingové a spamové e-maily, které byly doručeny do složky doručené pošty v době doručení, vyberte nejprve Úroveň spolehlivosti v části Email Události, vyberte rovná se a v seznamu navrhovaných uzavřených zpráv, který podporuje vícenásobný výběr, zvolte Vysoká v části Phish i Spam:

Snímek obrazovky tvůrce dotazů s asistencí v režimu hledání vysoce důvěryhodných phish nebo spamových e-mailů doručovaných do doručené pošty – první podmínka

Pak přidejte další podmínku, tentokrát zadejte složku nebo DeliveryLocation, Doručená pošta/složka.

Snímek obrazovky tvůrce dotazů v režimu s asistencí pro vyhledávání vysoce důvěryhodných phishingových nebo spamových e-mailů doručovaných do doručené pošty, druhá podmínka

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.