Sdílet prostřednictvím


Práce s výsledky dotazů rozšířeného proaktivního vyhledávání

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

I když můžete vytvářet pokročilé dotazy proaktivního vyhledávání , abyste vrátili přesné informace, můžete také pracovat s výsledky dotazů a získat další přehled a prozkoumat konkrétní aktivity a indikátory. S výsledky dotazu můžete provést následující akce:

  • Zobrazení výsledků jako tabulky nebo grafu
  • Export tabulek a grafů
  • Přejít k podrobnostem o podrobných informacích o entitách
  • Úprava dotazů přímo z výsledků

Zobrazení výsledků dotazu jako tabulky nebo grafu

Rozšířené proaktivní vyhledávání ve výchozím nastavení zobrazuje výsledky dotazu jako tabulková data. Můžete také zobrazit stejná data jako graf. Rozšířené proaktivní vyhledávání podporuje následující zobrazení:

Typ zobrazení Popis
Stůl Zobrazí výsledky dotazu v tabulkovém formátu.
Sloupcový graf Vykreslí řadu jedinečných položek na ose x jako svislé pruhy, jejichž výška představuje číselné hodnoty z jiného pole.
Koláčový graf Vykreslí výseče oddílů představující jedinečné položky. Velikost každého výsečového grafu představuje číselné hodnoty z jiného pole.
Spojnicový graf Vykreslí číselné hodnoty pro řadu jedinečných položek a spojí vynesené hodnoty.
Bodový graf Vykreslí číselné hodnoty pro řadu jedinečných položek.
Plošný graf Vykreslí číselné hodnoty pro řadu jedinečných položek a vyplní oddíly pod vykreslenými hodnotami.
Skládaný plošný graf Vykreslí číselné hodnoty pro řadu jedinečných položek a naskládá vyplněné oddíly pod vykreslované hodnoty.
Časový graf Vykreslí hodnoty podle počtu na lineárním časovém stupnici.

Vytváření dotazů pro efektivní grafy

Při vykreslování grafů rozšířené proaktivní vyhledávání automaticky identifikuje sloupce, které vás zajímají, a číselné hodnoty, které se mají agregovat. Pokud chcete získat smysluplné grafy, sestavte dotazy tak, aby vracely konkrétní hodnoty, které chcete vizualizovat. Tady je několik ukázkových dotazů a výsledných grafů.

Výstrahy podle závažnosti

Pomocí operátoru summarize získáte číselný počet hodnot, které chcete zobrazit v grafu. Následující dotaz používá summarize operátor k získání počtu výstrah podle závažnosti.

AlertInfo
| summarize Total = count() by Severity

Při vykreslování výsledků zobrazí sloupcový graf každou hodnotu závažnosti jako samostatný sloupec:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Příklad grafu, který zobrazuje výsledky rozšířeného vyhledávání na portálu Microsoft Defender

Phishingové e-maily v deseti hlavních doménách odesílatelů

Pokud pracujete se seznamem hodnot, které nejsou konečné, můžete pomocí operátoru Top vypsat pouze hodnoty s většinou instancí. Pokud například chcete získat prvních 10 domén odesílatelů s nejvíce phishingovými e-maily, použijte následující dotaz:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Zobrazení výsečového grafu slouží k efektivnímu zobrazení distribuce mezi hlavními doménami:

Výsečový graf zobrazující výsledky rozšířeného vyhledávání na portálu Microsoft Defender

Aktivity souborů v průběhu času

Pomocí operátoru summarizebin() s funkcí můžete zkontrolovat události týkající se konkrétního indikátoru v průběhu času. Následující dotaz spočítá události týkající se souboru invoice.doc v 30minutových intervalech, aby se zobrazily špičky v aktivitě související s tímto souborem:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Níže uvedený spojnicový graf jasně zvýrazňuje časová období s větší aktivitou zahrnující invoice.doc:

Spojnicový graf zobrazující výsledky rozšířeného vyhledávání na portálu Microsoft Defender

Export tabulek a grafů

Po spuštění dotazu vyberte Exportovat a uložte výsledky do místního souboru. Zvolené zobrazení určuje, jak se výsledky exportují:

  • Zobrazení tabulky – výsledky dotazu se exportují v tabulkové podobě jako sešit Microsoft Excelu.
  • Libovolný graf – výsledky dotazu se exportují jako obrázek vykresleného grafu ve formátu JPEG.

Filtrovat výsledky

Po spuštění dotazu vyberte Filtr a zúžíte výsledky.

Snímek obrazovky s filtry v rozšířeném proaktivním vyhledávání

Pokud chcete přidat filtr, vyberte data, pro která chcete filtrovat, zaškrtnutím jednoho nebo více políček. Pak vyberte Přidat.

Snímek obrazovky s rozevíracím seznamem filtrů v rozšířeném proaktivním vyhledávání

Výběrem nově přidaného filtru můžete výsledky ještě zúžit na konkrétní data.

Snímek obrazovky s novým filtrem v rozšířeném proaktivním vyhledávání

Otevře se rozevírací seznam s možnými filtry, které můžete dál používat. Zaškrtněte jedno nebo více políček a pak vyberte Použít.

Snímek obrazovky s rozevíracím seznamem nového filtru v rozšířeném proaktivním vyhledávání

Zkontrolujte část Filtry a ověřte, že jste přidali požadované filtry.

Snímek obrazovky s filtry a rozšířeným proaktivním vyhledáváním

Přechod k podrobnostem z výsledků dotazu

Výsledky můžete prozkoumat také v souladu s následujícími funkcemi:

  • Rozbalení výsledku výběrem šipky rozevíracího seznamu nalevo od každého výsledku
  • Pokud je to možné, rozbalte podrobnosti o výsledcích ve formátech JSON a pole tak, že vyberete šipku rozevíracího seznamu nalevo od příslušných názvů sloupců a zajistíte tak lepší čitelnost.
  • Otevření bočního podokna a zobrazení podrobností záznamu (souběžně s rozbalenými řádky)

Snímek obrazovky s rozbalením výsledků pro přechod k podrobnostem

Můžete také kliknout pravým tlačítkem na libovolnou výslednou hodnotu v řádku, abyste ji mohli použít k přidání dalších filtrů do existujícího dotazu nebo zkopírovat hodnotu pro účely dalšího šetření.

Snímek obrazovky s možnostmi při kliknutí pravým tlačítkem myši na možnost

U polí JSON a pole pole můžete navíc kliknout pravým tlačítkem myši a aktualizovat existující dotaz tak, aby zahrnoval nebo vyloučil pole nebo aby se pole rozšířilo na nový sloupec.

Snímek obrazovky s možnostmi při kliknutí pravým tlačítkem myši na možnost pro pole JSON a pole

Pokud chcete rychle zkontrolovat záznam ve výsledcích dotazu, vyberte odpovídající řádek a otevřete panel Kontrola záznamu . Panel obsahuje následující informace na základě vybraného záznamu:

  • Prostředky – souhrnné zobrazení hlavních prostředků (poštovních schránek, zařízení a uživatelů) nalezených v záznamu, doplněné o dostupné informace, jako jsou rizika a úrovně expozice.
  • Všechny podrobnosti – všechny hodnoty ze sloupců v záznamu

Vybraný záznam s panelem pro kontrolu záznamu na portálu Microsoft Defender

Pokud chcete zobrazit další informace o konkrétní entitě ve výsledcích dotazu, jako je počítač, soubor, uživatel, IP adresa nebo adresa URL, vyberte identifikátor entity a otevřete pro tuto entitu stránku s podrobným profilem.

Úprava dotazů z výsledků

Vyberte tři tečky napravo od libovolného sloupce na panelu Zkontrolovat záznam . Tyto možnosti můžete použít k:

  • Explicitně vyhledejte vybranou hodnotu (==)
  • Vyloučit vybranou hodnotu z dotazu (!=)
  • Získejte pokročilejší operátory pro přidání hodnoty do dotazu, jako containsjsou , starts witha ends with

Snímek obrazovky s podoknem Typ akce na stránce Zkontrolovat záznam na portálu Microsoft Defender

Přidání položek do oblíbených položek

Často používaná schémata, funkce, dotazy a pravidla detekce můžete přidat do části Oblíbené na každé kartě na stránce rozšířeného vyhledávání, abyste k němu měli rychlý přístup.

Snímek obrazovky se stránkou rozšířeného proaktivního vyhledávání se zvýrazněnou částí Oblíbené

Pokud například chcete přidat AlertInfo do oblíbených položek, přejděte na kartu Schéma , vyberte tři tečky napravo od tabulky a vyberte Přidat k oblíbeným položkám.

Snímek obrazovky s možností Přidat k oblíbeným na stránce rozšířeného proaktivního vyhledávání

Zobrazí se oznámení s informací, že položka byla úspěšně přidána do oblíbených položek.

Snímek obrazovky s oznámením o přidání nové položky do oblíbených položek v rozšířeném proaktivním vyhledávání

To samé můžete udělat s uloženými funkcemi, dotazy a vlastními detekcemi v příslušných oddílech Oblíbené přímo pod jednotlivými kartami (Funkce, Dotazy a Pravidla detekce).

Poznámka

Některé tabulky v tomto článku nemusí být dostupné na Microsoft Defender for Endpoint. Zapněte Microsoft Defender XDR pro vyhledávání hrozeb s využitím více zdrojů dat. Pokročilé pracovní postupy proaktivního vyhledávání můžete přesunout z Microsoft Defender for Endpoint do Microsoft Defender XDR pomocí kroků v tématu Migrace dotazů rozšířeného proaktivního vyhledávání z Microsoft Defender for Endpoint.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.