Få ekspertuddannelse i avanceret jagt
Gælder for:
- Microsoft Defender XDR
Øg hurtigt din viden om avanceret jagt med Sporing af modstanderen, en webcastserie til nye sikkerhedsanalytikere og erfarne trusselsjægere. Serien fører dig gennem de grundlæggende funktioner, så du kan oprette dine egne avancerede forespørgsler. Start med den første video om grundlæggende funktioner, eller spring til mere avancerede videoer, der passer til dit oplevelsesniveau.
| Titel | Beskrivelse | Se | Forespørgsler |
|---|---|---|---|
| Episode 1: Grundlæggende oplysninger om KQL | Denne episode dækker de grundlæggende principper for avanceret jagt i Microsoft Defender XDR. Få mere at vide om tilgængelige avancerede jagtdata og grundlæggende KQL-syntaks og -operatorer. | YouTube (54:14) | Tekstfil |
| Episode 2: Joins | Fortsæt med at lære om data i avanceret jagt, og hvordan du joinforbinder tabeller. Få mere at vide om inner, outer, uniqueog semi joinforbindelser, og forstå nuancerne i kusto-standardjoinforbindelsen innerunique . |
YouTube (53:33) | Tekstfil |
| Episode 3: Opsummering, pivotering og visualisering af data | Nu, hvor du har lært at filtrere, manipulere og joinforbinde data, er det tid til at opsummere, kvantificere, pivotere og visualisere. I dette afsnit beskrives operatoren summarize og forskellige beregninger, samtidig med at der introduceres yderligere tabeller i skemaet. Du lærer også at omdanne datasæt til diagrammer, der kan hjælpe dig med at udtrække indsigt. |
YouTube (48:52) | Tekstfil |
| Episode 4: Lad os jage! Anvendelse af KQL på sporing af hændelser | I denne episode lærer du at spore visse hackeraktiviteter. Vi bruger vores forbedrede forståelse af Kusto og avanceret jagt til at spore et angreb. Få mere at vide om de faktiske tricks, der bruges i marken, herunder ABCs for cybersikkerhed, og hvordan du anvender dem på svar på hændelser. | YouTube (59:36) | Tekstfil |
Få mere ekspertuddannelse med L33TSP3AK: Avanceret jagt i Microsoft Defender XDR, en webcastserie for analytikere, der ønsker at udvide deres tekniske viden og praktiske færdigheder i forbindelse med udførelse af sikkerhedsundersøgelser ved hjælp af avanceret jagt i Microsoft Defender XDR.
| Titel | Beskrivelse | Se | Forespørgsler |
|---|---|---|---|
| Episode 1 | I denne episode lærer du forskellige bedste fremgangsmåder i forbindelse med kørsel af avancerede jagtforespørgsler. Blandt de emner, der dækkes, er: hvordan du optimerer dine forespørgsler, bruger avanceret jagt efter ransomware, håndterer JSON som en dynamisk type og arbejder med eksterne dataoperatører. | YouTube (56:34) | Tekstfil |
| Episode 2 | I denne episode lærer du, hvordan du undersøger og reagerer på mistænkelige eller usædvanlige logonplaceringer og dataudfiltrering via regler for videresendelse af indbakker. Sebastien Molendijk, Senior Program Manager for Cloud Security CxE, deler, hvordan avanceret jagt bruges til at undersøge hændelser med Microsoft Defender for Cloud Apps data i flere faser. | YouTube (57:07) | Tekstfil |
| Episode 3 | I dette afsnit gennemgår vi de seneste forbedringer af avanceret jagt, hvordan du importerer en ekstern datakilde i din forespørgsel, og hvordan du bruger partitionering til at segmentere store forespørgselsresultater i mindre resultatsæt for at undgå at ramme API-grænser. | YouTube (40:59) | Tekstfil |
Sådan bruger du CSL-filen
Før du starter en episode, skal du få adgang til den tilsvarende tekstfil på GitHub og kopiere indholdet til den avancerede forespørgselseditor til jagt. Når du ser en episode, kan du bruge det kopierede indhold til at følge taleren og køre forespørgsler.
Følgende uddrag fra en tekstfil, der indeholder forespørgslerne, viser et omfattende sæt retningslinjer, der er markeret som kommentarer med //.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Den samme tekstfil indeholder forespørgsler før og efter kommentarerne som vist nedenfor. Hvis du vil køre en bestemt forespørgsel med flere forespørgsler i editoren, skal du flytte markøren til den pågældende forespørgsel og vælge Kør forespørgsel.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Andre ressourcer
| Titel | Beskrivelse | Se |
|---|---|---|
| Sammenføjning af tabeller i KQL | Få mere at vide om fordelene ved at sammenføje tabeller ved at oprette meningsfulde resultater. | YouTube (4:17) |
| Optimering af tabeller i KQL | Få mere at vide om, hvordan du undgår timeout, når du kører komplekse forespørgsler, ved at optimere dine forespørgsler. | YouTube (5:38) |
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om det avancerede forespørgselssprog for jagt
- Arbejd med forespørgselsresultater
- Brug delte forespørgsler
- Lede på tværs af enheder, mails, apps og identiteter
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.