Uzyskiwanie specjalistycznych szkoleń na temat zaawansowanego wyszukiwania zagrożeń
Dotyczy:
- Microsoft Defender XDR
Zwiększ swoją wiedzę na temat zaawansowanego wyszukiwania zagrożeń dzięki funkcji Tracking the adversary , serii audycji internetowych dla nowych analityków zabezpieczeń i doświadczonych łowców zagrożeń. Seria przeprowadzi Cię przez podstawy do tworzenia własnych zaawansowanych zapytań. Zacznij od pierwszego wideo na temat podstaw lub przejdź do bardziej zaawansowanych filmów wideo, które pasują do Twojego poziomu doświadczenia.
| Tytuł | Opis | Obejrzyj | Zapytania |
|---|---|---|---|
| Odcinek 1: Podstawy KQL | Ten odcinek obejmuje podstawy zaawansowanych polowań w Microsoft Defender XDR. Dowiedz się więcej na temat dostępnych zaawansowanych danych wyszukiwania zagrożeń oraz podstawowej składni i operatorów KQL. | YouTube (54:14) | Plik tekstowy |
| Odcinek 2: Sprzężenia | Kontynuuj naukę o danych w zaawansowanym polowaniu i sposobie łączenia tabel ze sobą. Dowiedz się więcej o innersprzężeniach , outer, uniquei semi oraz zapoznaj się z niuansami domyślnego sprzężenia Kusto innerunique . |
YouTube (53:33) | Plik tekstowy |
| Odcinek 3. Podsumowanie, przestawianie i wizualizowanie danych | Teraz, gdy już wiesz już, jak filtrować, manipulować danymi i dołączać do niego, nadszedł czas na podsumowanie, kwantyfikację, przestawianie i wizualizowanie. W tym odcinku omówiono summarize operator i różne obliczenia, wprowadzając jednocześnie dodatkowe tabele w schemacie. Dowiesz się również, jak przekształcić zestawy danych w wykresy, które mogą pomóc w wyodrębnianiu szczegółowych informacji. |
YouTube (48:52) | Plik tekstowy |
| Odcinek 4. Polowanie! Stosowanie KQL do śledzenia zdarzeń | W tym odcinku nauczysz się śledzić aktywność osoby atakującej. Korzystamy z naszego lepszego zrozumienia Kusto i zaawansowanego wyszukiwania zagrożeń w celu śledzenia ataku. Poznaj rzeczywiste sztuczki używane w tej dziedzinie, w tym abcs cyberbezpieczeństwa i jak zastosować je do reagowania na zdarzenia. | YouTube (59:36) | Plik tekstowy |
Uzyskaj więcej specjalistycznych szkoleń z L33TSP3AK: Zaawansowane wyszukiwanie zagrożeń w Microsoft Defender XDR, seria audycji internetowych dla analityków, którzy chcą rozszerzyć swoją wiedzę techniczną i praktyczne umiejętności w prowadzeniu badań bezpieczeństwa przy użyciu zaawansowanego polowania w Microsoft Defender XDR.
| Tytuł | Opis | Obejrzyj | Zapytania |
|---|---|---|---|
| Odcinek 1 | W tym odcinku poznasz różne najlepsze rozwiązania dotyczące uruchamiania zaawansowanych zapytań dotyczących wyszukiwania zagrożeń. Wśród omówionych tematów są: jak zoptymalizować zapytania, używać zaawansowanego wyszukiwania zagrożeń dla oprogramowania wymuszającego okup, obsługiwać format JSON jako typ dynamiczny i pracować z zewnętrznymi operatorami danych. | YouTube (56:34) | Plik tekstowy |
| Odcinek 2 | W tym odcinku dowiesz się, jak badać podejrzane lub nietypowe lokalizacje logowania i eksfiltrować dane oraz reagować na nie za pośrednictwem reguł przekazywania skrzynki odbiorczej. Sebastien Molendijk, starszy menedżer programu w usłudze Cloud Security CxE, dzieli się sposobem używania zaawansowanego wyszukiwania zagrożeń do badania wieloetapowych zdarzeń z Microsoft Defender for Cloud Apps danych. | YouTube (57:07) | Plik tekstowy |
| Odcinek 3 | W tym odcinku omówimy najnowsze ulepszenia zaawansowanego wyszukiwania zagrożeń, sposób importowania zewnętrznego źródła danych do zapytania oraz sposób użycia partycjonowania w celu dzielenia wyników dużych zapytań na mniejsze zestawy wyników, aby uniknąć osiągnięcia limitów interfejsu API. | YouTube (40:59) | Plik tekstowy |
Jak używać pliku CSL
Przed rozpoczęciem odcinka uzyskaj dostęp do odpowiedniego pliku tekstowego w usłudze GitHub i skopiuj jego zawartość do zaawansowanego edytora zapytań wyszukiwania zagrożeń. Podczas watch odcinka możesz użyć skopiowanych treści, aby śledzić osoby mówiące i uruchamiać zapytania.
Poniższy fragment pliku tekstowego zawierającego zapytania zawiera kompleksowy zestaw wskazówek oznaczonych jako komentarze za pomocą //polecenia .
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Ten sam plik tekstowy zawiera zapytania przed i po komentarzach, jak pokazano poniżej. Aby uruchomić określone zapytanie z wieloma zapytaniami w edytorze, przenieś kursor do tego zapytania i wybierz pozycję Uruchom zapytanie.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Inne zasoby
| Tytuł | Opis | Obejrzyj |
|---|---|---|
| Łączenie tabel w języku KQL | Poznaj możliwości łączenia tabel w tworzeniu znaczących wyników. | YouTube (4:17) |
| Optymalizowanie tabel w języku KQL | Dowiedz się, jak uniknąć przekroczeń limitu czasu podczas uruchamiania złożonych zapytań, optymalizując zapytania. | YouTube (5:38) |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Poznaj zaawansowany język zapytań wyszukiwania zagrożeń
- Praca z wynikami zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.