Freigeben über


Arbeiten mit den Ergebnissen erweiterter Huntingabfragen

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Während Sie Ihre erweiterten Huntingabfragen erstellen können, um genaue Informationen zurückzugeben, können Sie auch mit den Abfrageergebnissen arbeiten, um weitere Einblicke zu erhalten und bestimmte Aktivitäten und Indikatoren zu untersuchen. Sie können die folgenden Aktionen für Ihre Abfrageergebnisse ausführen:

  • Anzeigen von Ergebnissen als Tabelle oder Diagramm
  • Exportieren von Tabellen und Diagrammen
  • Drilldown zu detaillierten Entitätsinformationen
  • Optimieren Ihrer Abfragen direkt aus den Ergebnissen

Anzeigen von Abfrageergebnissen als Tabelle oder Diagramm

Bei der erweiterten Suche werden Abfrageergebnisse standardmäßig als tabellarische Daten angezeigt. Sie können auch die gleichen Daten wie ein Diagramm anzeigen. Die erweiterte Suche unterstützt die folgenden Ansichten:

Ansichtstyp Beschreibung
Table Zeigt die Abfrageergebnisse im tabellarischen Format an.
Säulendiagramm Rendert eine Reihe eindeutiger Elemente auf der X-Achse als vertikale Balken, deren Höhe numerische Werte aus einem anderen Feld darstellt.
Kreisdiagramm Rendert abschnittale Kreise, die eindeutige Elemente darstellen. Die Größe jedes Kreises stellt numerische Werte aus einem anderen Feld dar.
Liniendiagramm Zeichnet numerische Werte für eine Reihe eindeutiger Elemente und verbindet die gezeichneten Werte.
Punktdiagramm Zeichnet numerische Werte für eine Reihe eindeutiger Elemente
Flächendiagramm Zeichnet numerische Werte für eine Reihe eindeutiger Elemente und füllt die Abschnitte unterhalb der gezeichneten Werte aus.
Gestapeltes Flächendiagramm Zeichnet numerische Werte für eine Reihe eindeutiger Elemente und stapelt die gefüllten Abschnitte unterhalb der gezeichneten Werte.
Zeitdiagramm Zeichnet Werte nach Anzahl auf einer linearen Zeitskala

Erstellen von Abfragen für effektive Diagramme

Beim Rendern von Diagrammen identifiziert die erweiterte Suche automatisch die relevanten Spalten und die numerischen Werte, die aggregiert werden sollen. Um aussagekräftige Diagramme zu erhalten, erstellen Sie Ihre Abfragen, um die spezifischen Werte zurückzugeben, die sie visualisiert sehen möchten. Im Folgenden finden Sie einige Beispielabfragen und die resultierenden Diagramme.

Warnungen nach Schweregrad

Verwenden Sie den summarize -Operator, um eine numerische Anzahl der Werte abzurufen, die Sie im Diagramm darstellen möchten. Die folgende Abfrage verwendet den summarize -Operator, um die Anzahl der Warnungen nach Schweregrad abzurufen.

AlertInfo
| summarize Total = count() by Severity

Beim Rendern der Ergebnisse zeigt ein Säulendiagramm jeden Schweregradwert als separate Spalte an:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Beispiel für ein Diagramm, in dem die Ergebnisse der erweiterten Suche im Microsoft Defender-Portal angezeigt werden

Phishing-E-Mails in den zehn wichtigsten Absenderdomänen

Wenn Sie es mit einer Liste von Werten zu tun haben, die nicht begrenzt ist, können Sie den Top Operator verwenden, um nur die Werte mit den meisten Instanzen zu diagrammen. Verwenden Sie beispielsweise die folgende Abfrage, um die 10 wichtigsten Absenderdomänen mit den meisten Phishing-E-Mails abzurufen:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Verwenden Sie die Kreisdiagrammansicht, um die Verteilung auf die wichtigsten Domänen effektiv anzuzeigen:

Das Kreisdiagramm, das die Ergebnisse der erweiterten Suche im Microsoft Defender-Portal anzeigt

Dateiaktivitäten im Zeitverlauf

Mithilfe des summarize Operators mit der -Funktion können Sie im Laufe der bin() Zeit nach Ereignissen suchen, die einen bestimmten Indikator betreffen. Die folgende Abfrage zählt Ereignisse, die die Datei invoice.doc in 30-Minuten-Intervallen betreffen, um Spitzen bei der Aktivität im Zusammenhang mit dieser Datei anzuzeigen:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Das folgende Liniendiagramm hebt Zeiträume mit mehr Aktivität deutlich hervor, die sich auf folgendes bezieht invoice.doc:

Das Liniendiagramm mit den Ergebnissen der erweiterten Suche im Microsoft Defender-Portal

Exportieren von Tabellen und Diagrammen

Wählen Sie nach dem Ausführen einer Abfrage Exportieren aus, um die Ergebnisse in einer lokalen Datei zu speichern. Die ausgewählte Ansicht bestimmt, wie die Ergebnisse exportiert werden:

  • Tabellenansicht – Die Abfrageergebnisse werden in tabellarischer Form als Microsoft Excel-Arbeitsmappe exportiert.
  • Beliebiges Diagramm: Die Abfrageergebnisse werden als JPEG-Bild des gerenderten Diagramms exportiert.

Filtern von Ergebnissen

Wählen Sie nach dem Ausführen einer Abfrage Filter aus, um die Ergebnisse einzugrenzen.

Screenshot der Filter in der erweiterten Suche.

Wenn Sie einen Filter hinzufügen möchten, wählen Sie die Daten aus, nach den Sie filtern möchten, indem Sie mindestens eines der Kontrollkästchen aktivieren. Wählen Sie dann Hinzufügen aus.

Screenshot der Dropdownliste

Sie können die Ergebnisse noch weiter auf bestimmte Daten eingrenzen, indem Sie den neu hinzugefügten Filter auswählen.

Screenshot der neuen Filterpille bei der erweiterten Suche.

Daraufhin wird eine Dropdownliste mit den möglichen Filtern geöffnet, die Sie weiter verwenden können. Aktivieren Sie eines oder mehrere der Kontrollkästchen, und wählen Sie dann Übernehmen aus.

Screenshot der Dropdownliste des neuen Filters in der erweiterten Suche.

Vergewissern Sie sich, dass Sie die gewünschten Filter hinzugefügt haben, indem Sie den Abschnitt Filter überprüfen.

Screenshot: Filter, die die erweiterte Suche hinzugefügt haben.

Drilldown aus Abfrageergebnissen

Sie können die Ergebnisse auch im Einklang mit den folgenden Features untersuchen:

  • Erweitern Eines Ergebnisses durch Auswählen des Dropdownpfeils links neben jedem Ergebnis
  • Erweitern Sie ggf. Details für Ergebnisse in JSON- und Arrayformaten, indem Sie den Dropdownpfeil links neben den entsprechenden Spaltennamen auswählen, um die Lesbarkeit zu erhöhen.
  • Öffnen Sie den Seitenbereich, um die Details eines Datensatzes anzuzeigen (gleichzeitig mit erweiterten Zeilen).

Screenshot der Erweiterung der Ergebnisse zum Drilldown

Sie können auch mit der rechten Maustaste auf einen beliebigen Ergebniswert in einer Zeile klicken, sodass Sie ihn verwenden können, um der vorhandenen Abfrage weitere Filter hinzuzufügen oder den Wert für die weitere Untersuchung zu kopieren.

Screenshot der Optionen beim Rechtsklick auf eine Option

Darüber hinaus können Sie für JSON- und Arrayfelder mit der rechten Maustaste klicken und die vorhandene Abfrage aktualisieren, um das Feld einzuschließen oder auszuschließen oder das Feld auf eine neue Spalte zu erweitern.

Screenshot der Optionen beim Rechtsklick auf eine Option für JSON- und Arrayfelder

Um einen Datensatz in Ihren Abfrageergebnissen schnell zu überprüfen, wählen Sie die entsprechende Zeile aus, um den Bereich Datensatz überprüfen zu öffnen. Das Panel stellt die folgenden Informationen basierend auf dem ausgewählten Datensatz bereit:

  • Assets – Zusammengefasste Ansicht der Standard Ressourcen (Postfächer, Geräte und Benutzer) im Datensatz, angereichert mit verfügbaren Informationen, z. B. Risiko- und Risikostufen
  • Alle Details – Alle Werte aus den Spalten im Datensatz

Der ausgewählte Datensatz mit Bereich zum Überprüfen des Datensatzes im Microsoft Defender-Portal

Wenn Sie weitere Informationen zu einer bestimmten Entität in Ihren Abfrageergebnissen anzeigen möchten, z. B. einen Computer, eine Datei, einen Benutzer, eine IP-Adresse oder eine URL, wählen Sie den Entitätsbezeichner aus, um eine detaillierte Profilseite für diese Entität zu öffnen.

Optimieren von Abfragen aus den Ergebnissen

Wählen Sie die drei Punkte rechts neben einer beliebigen Spalte im Bereich Datensatz überprüfen aus. Sie können die folgenden Optionen für Folgendes verwenden:

  • Explizites Suchen nach dem ausgewählten Wert (==)
  • Ausschließen des ausgewählten Werts aus der Abfrage (!=)
  • Abrufen erweiterter Operatoren zum Hinzufügen des Werts zu Ihrer Abfrage, z contains. B. , starts withund ends with

Screenshot des Bereichs

Hinzufügen von Elementen zu Favoriten

Sie können Ihre häufig verwendeten Schemas, Funktionen, Abfragen und Erkennungsregeln zum Abschnitt Favoriten auf jeder Registerkarte auf der Seite für erweiterte Suche hinzufügen, um schnell darauf zuzugreifen.

Screenshot der Seite

Um instance zu Ihren Favoriten hinzuzufügenAlertInfo, wechseln Sie zur Registerkarte Schema, wählen Sie die drei Punkte rechts neben der Tabelle aus, und wählen Sie Zu Favoriten hinzufügen aus.

Screenshot der Option

Es wird eine Benachrichtigung angezeigt, die Sie darüber informiert, dass das Element erfolgreich zu Favoriten hinzugefügt wurde.

Screenshot der Benachrichtigung, dass zu den Favoriten in der erweiterten Suche ein neues Element hinzugefügt wurde.

Sie können dies auch für Ihre gespeicherten Funktionen, Abfragen und benutzerdefinierten Erkennungen in den jeweiligen Favoritenabschnitten direkt auf jeder Registerkarte (Funktionen, Abfragen und Erkennungsregeln) tun.

Hinweis

Einige Tabellen in diesem Artikel sind möglicherweise nicht auf Microsoft Defender for Endpoint verfügbar. Aktivieren Sie Microsoft Defender XDR, um mithilfe weiterer Datenquellen nach Bedrohungen zu suchen. Sie können Ihre Workflows für die erweiterte Suche von Microsoft Defender for Endpoint auf Microsoft Defender XDR verschieben, indem Sie die Schritte unter Migrieren von Abfragen für erweiterte Suche von Microsoft Defender for Endpoint ausführen.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.