Arbeide med avanserte spørringsresultater for jakt
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Selv om du kan konstruere avanserte jaktspørringer for å returnere nøyaktig informasjon, kan du også arbeide med spørringsresultatene for å få ytterligere innsikt og undersøke bestemte aktiviteter og indikatorer. Du kan utføre følgende handlinger på spørringsresultatene:
- Vise resultater som en tabell eller et diagram
- Eksportere tabeller og diagrammer
- Drill ned til detaljert enhetsinformasjon
- Justere spørringene direkte fra resultatene
Vise spørringsresultater som en tabell eller et diagram
Avansert jakt viser som standard spørringsresultater som tabelldata. Du kan også vise de samme dataene som et diagram. Avansert jakt støtter følgende visninger:
| Visningstype | Beskrivelse |
|---|---|
| Bord | Viser spørringsresultatene i tabellformat |
| Stolpediagram | Gjengir en serie med unike elementer på x-aksen som loddrette stolper med høyder som representerer numeriske verdier fra et annet felt |
| Sektordiagram | Gjengir inndelingssektorer som representerer unike elementer. Størrelsen på hver sektor representerer numeriske verdier fra et annet felt. |
| Linjediagram | Tegner inn numeriske verdier for en serie med unike elementer og kobler sammen de inntegnede verdiene |
| Punktdiagram | Tegner inn numeriske verdier for en serie med unike elementer |
| Arealdiagram | Tegner inn numeriske verdier for en serie med unike elementer og fyller inndelingene under de inntegnede verdiene |
| Stablet arealdiagram | Tegner inn numeriske verdier for en serie unike elementer og stabler de fylte inndelingene under de inntegnede verdiene |
| Tidsdiagram | Tegner inn verdier etter antall på en lineær tidsskala |
Konstruere spørringer for effektive diagrammer
Ved gjengivelse av diagrammer identifiserer avansert jakt automatisk kolonner av interesse og de numeriske verdiene som skal aggregeres. For å få meningsfulle diagrammer kan du konstruere spørringene for å returnere de bestemte verdiene du vil se visualisert. Her er noen eksempelspørringer og de resulterende diagrammene.
Varsler etter alvorlighetsgrad
Bruk operatoren summarize til å få et numerisk antall verdier du vil lage et diagram over. Spørringen nedenfor bruker operatoren summarize til å få antall varsler etter alvorsgrad.
AlertInfo
| summarize Total = count() by Severity
Når resultatene gjengis, viser et stolpediagram hver alvorlighetsgradverdi som en egen kolonne:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Phishing-e-postmeldinger på tvers av ti avsenderdomener
Hvis du arbeider med en liste over verdier som ikke er begrenset, kan du bruke operatoren Top til å bare kartlegge verdiene med flest forekomster. Hvis du for eksempel vil ha de 10 beste avsenderdomenene med flest phishing-e-postmeldinger, bruker du spørringen nedenfor:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Bruk sektordiagramvisningen til effektivt å vise distribusjon på tvers av de øverste domenene:
Filaktiviteter over tid
Hvis du bruker operatoren summarizebin() med funksjonen, kan du se etter hendelser som involverer en bestemt indikator over tid. Spørringen nedenfor teller hendelser som involverer filen invoice.doc med 30-minutters intervaller for å vise pigger i aktivitet relatert til denne filen:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
Linjediagrammet nedenfor fremhever tydelig tidsperioder med mer aktivitet som involverer invoice.doc:
Eksportere tabeller og diagrammer
Når du har kjørt en spørring, velger du Eksporter for å lagre resultatene til den lokale filen. Den valgte visningen bestemmer hvordan resultatene eksporteres:
- Tabellvisning – Spørringsresultatene eksporteres i tabellformat som en Microsoft Excel-arbeidsbok
- Alle diagrammer – spørringsresultatene eksporteres som et JPEG-bilde av det gjengitte diagrammet
Filtrer resultater
Når du har kjørt en spørring, velger du Filter for å begrense resultatene.
Hvis du vil legge til et filter, velger du dataene du vil filtrere etter, ved å velge én eller flere av avmerkingsboksene. Velg deretter Legg til.
Du kan begrense resultatene enda lenger ned til bestemte data ved å velge filteret som nylig er lagt til.
Dette åpner en rullegardinliste som viser de mulige filtrene du kan bruke videre. Merk én eller flere av avmerkingsboksene, og velg deretter Bruk.
Bekreft at du har lagt til filtrene du vil bruke, ved å kontrollere Filter-delen.
Drill ned fra spørringsresultater
Du kan også utforske resultatene på linje med følgende funksjoner:
- Utvid et resultat ved å velge rullegardinpilen til venstre for hvert resultat
- Der det er aktuelt, utvider du detaljer for resultater som er i JSON- og matriseformater, ved å velge rullegardinpilen til venstre for gjeldende kolonnenavn for å få mer lesbarhet
- Åpne sideruten for å se detaljer om en post (samtidig med utvidede rader)
Du kan også høyreklikke på en resultatverdi i en rad, slik at du kan bruke den til å legge til flere filtre i den eksisterende spørringen eller kopiere verdien for bruk i videre undersøkelser.
For JSON- og matrisefelt kan du i tillegg høyreklikke og oppdatere den eksisterende spørringen for å inkludere eller utelate feltet, eller utvide feltet til en ny kolonne.
Hvis du raskt vil undersøke en post i spørringsresultatene, velger du den tilsvarende raden for å åpne Undersøk post-panelet . Panelet inneholder følgende informasjon basert på den valgte posten:
- Aktiva – Oppsummert visning av hovedressursene (postbokser, enheter og brukere) som finnes i posten, beriket med tilgjengelig informasjon, for eksempel risiko- og eksponeringsnivåer
- Alle detaljer – alle verdiene fra kolonnene i posten
Hvis du vil vise mer informasjon om en bestemt enhet i spørringsresultatene, for eksempel en maskin, fil, bruker, IP-adresse eller nettadresse, velger du enhets-ID-en for å åpne en detaljert profilside for denne enheten.
Justere spørringene fra resultatene
Velg de tre prikkene til høyre for en kolonne i Undersøk post-panelet . Du kan bruke alternativene til å:
- Se eksplisitt etter den valgte verdien (
==) - Utelat den valgte verdien fra spørringen (
!=) - Få mer avanserte operatorer for å legge til verdien i spørringen, for eksempel
contains,starts withogends with
Legge til elementer i Favoritter
Du kan legge til dine ofte brukte skjemaer, funksjoner, spørringer og gjenkjenningsregler i Favoritter-delen av hver fane på siden for avansert jakt for rask tilgang.
Hvis du for eksempel vil legge AlertInfo til i Favoritter, går du til Skjema-fanen og velger de tre prikkene til høyre for tabellen og velger Legg til i favoritter.
Det vises et varsel som informerer deg om at elementet er lagt til i Favoritter.
Du kan gjøre det samme for de lagrede funksjonene, spørringene og de egendefinerte gjenkjenningene i de respektive Favoritter-inndelingene rett under hver fane (Funksjoner, spørringer og gjenkjenningsregler).
Obs!
Noen tabeller i denne artikkelen er kanskje ikke tilgjengelige på Microsoft Defender for endepunkt. Slå på Microsoft Defender XDR for å lete etter trusler ved hjelp av flere datakilder. Du kan flytte avanserte jaktarbeidsflyter fra Microsoft Defender for endepunkt til Microsoft Defender XDR ved å følge trinnene i Overføre avanserte jaktspørringer fra Microsoft Defender for endepunkt.
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
- Oversikt over egendefinerte gjenkjenninger
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.