Microsoft Defender for Office 365 kehittynyt metsästysesimerkki
Koskee seuraavia:
- Microsoft Defender XDR
Haluatko aloittaa sähköpostiuhkien etsimisen kehittyneen metsästyksen avulla? Kokeile seuraavia vaiheita:
Microsoft Defender for Office 365 käyttöönotto-oppaassa kerrotaan, miten voit siirtyä suoraan mukaan ja saada määritykset käyntiin päivänä 1.
Ennalta määritetyn suojauskäytännön ja mukautettujen käytäntövalintojen mukaan nollatunnin automaattisen puhdistuksen (ZAP) asetukset ovat tärkeitä, jotta voidaan tietää, poistettiinko haitallinen viesti postilaatikosta toimituksen jälkeen.
Nopea siirtyminen Kusto-kyselykieleen ongelmien etsimiseksi on etuna näiden kahden suojauskeskuksen yhdistämisessä. Turvallisuusryhmät voivat seurata ZAP-epäonnistumisia suorittamalla seuraavat askeleensa Microsoft Defender-portaalissa Hunting>Advanced Huntingissahttps://security.microsoft.com>.
Varmista Lisämetsästys-sivulla osoitteessahttps://security.microsoft.com/v2/advanced-hunting, että Uusi kysely -välilehti on valittuna.
Kopioi seuraava kysely Kysely-ruutuun :
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
Valitse Suorita kysely.
Tämän kyselyn tiedot näkyvät tulospaneelissa itse kyselyn alapuolella. Tulokset sisältävät tietoja, kuten
DeviceName
,AccountDisplayName
jaZapTime
mukautettavassa tulosjoukossa. Myös tietueiden tulokset voidaan viedä. Jos haluat tallentaa kyselyn uudelleenkäyttöä varten, valitse Tallenna>nimellä , jos haluat lisätä kyselyn kysely-, jaettu- tai yhteisökyselyluetteloosi.
Aiheeseen liittyvät tiedot
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.