Finindstil din forespørgsel i guidet tilstand

Gælder for:

• Microsoft Defender XDR

Vigtigt!

Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Brug forskellige datatyper

Avanceret jagt i automatiseret tilstand understøtter flere datatyper, som du kan bruge til at finjustere din forespørgsel.

• Numre
  

• Strenge
  

  Skriv værdien i fritekstfeltet, og tryk på Enter for at tilføje den. Bemærk, at afgrænseren mellem værdier er Enter.
  

  

• Boolesk
  

• Datetime
  

• Lukket liste – Du behøver ikke at huske den nøjagtige værdi, du leder efter. Du kan nemt vælge fra en foreslået lukket liste, der understøtter flere markeringer.
  

Brug undergrupper

Du kan oprette grupper af betingelser ved at klikke på Tilføj undergruppe:

Brug automatisk smart fuldførelse til søgning

Smart automatisk fuldførelse af søgning efter enheder og brugerkonti understøttes. Du behøver ikke at huske enheds-id'et, det fulde enhedsnavn eller brugerkontonavnet. Du kan begynde at skrive de første par tegn på den enhed eller bruger, du leder efter, og der vises en foreslået liste, hvorfra du kan vælge, hvad du har brug for:

Bruge EventType

Du kan endda søge efter bestemte hændelsestyper, f.eks. alle mislykkede logons, filændringshændelser eller vellykkede netværksforbindelser ved hjælp af filteret EventType i en hvilken som helst sektion, hvor det er relevant.

Hvis du f.eks. vil tilføje en betingelse, der søger efter sletning af registreringsdatabaseværdier, kan du gå til afsnittet Hændelser i registreringsdatabasen og vælge EventType.

Hvis du vælger EventType under Hændelser i registreringsdatabasen, kan du vælge mellem forskellige hændelser i registreringsdatabasen, herunder den, du er på jagt efter, RegistryValueDeleted.

Bemærk!

EventType er det samme ActionType som i dataskemaet, som brugere af avanceret tilstand måske er mere bekendt med.

Test din forespørgsel med en mindre eksempelstørrelse

Hvis du stadig arbejder på din forespørgsel og gerne vil se dens ydeevne og nogle eksempelresultater hurtigt, skal du justere antallet af poster, der skal returneres, ved at vælge et mindre sæt via rullemenuen Eksempelstørrelse .

Eksempelstørrelsen er som standard angivet til 10.000 resultater. Dette er det maksimale antal poster, der kan returneres i jagt. Vi anbefaler dog på det kraftigste, at du sænker eksempelstørrelsen til 10 eller 100 for hurtigt at teste din forespørgsel, da det forbruger færre ressourcer, mens du stadig arbejder på at forbedre forespørgslen.

Når du derefter har færdiggjort din forespørgsel og er klar til at bruge den til at få alle de relevante resultater for din jagtaktivitet, skal du sørge for, at prøvestørrelsen er angivet til 10.000, det maksimale.

Skift til avanceret tilstand, når du har bygget en forespørgsel

Du kan klikke på Rediger i KQL for at få vist den KQL-forespørgsel, der er genereret af dine valgte betingelser. Redigering i KQL åbner en ny fane i avanceret tilstand med den tilsvarende KQL-forespørgsel:

I ovenstående eksempel er den valgte visning Alle, og du kan derfor se, at KQL-forespørgslen søger i alle tabeller, der har filegenskaberne Name og SHA256, og i alle de relevante kolonner, der dækker disse egenskaber.

Hvis du ændrer visningen til Mails & samarbejde, indsnævres forespørgslen til:

Se også

• Avancerede jagtkvoter og forbrugsparametre
• Udvid avanceret jagtdækning med de rigtige indstillinger

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.