Arbeta med avancerade frågeresultat för jakt
Viktigt
Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Du kan skapa avancerade jaktfrågor för att returnera exakt information, men du kan också arbeta med frågeresultaten för att få ytterligare insikter och undersöka specifika aktiviteter och indikatorer. Du kan utföra följande åtgärder på dina frågeresultat:
- Visa resultat som en tabell eller ett diagram
- Exportera tabeller och diagram
- Öka detaljnivån till detaljerad entitetsinformation
- Justera dina frågor direkt från resultaten
Visa frågeresultat som en tabell eller ett diagram
Som standard visar avancerad jakt frågeresultat som tabelldata. Du kan också visa samma data som ett diagram. Avancerad jakt stöder följande vyer:
| Vytyp | Beskrivning |
|---|---|
| Tabell | Visar frågeresultatet i tabellformat |
| Stapeldiagram | Renderar en serie unika objekt på x-axeln som lodräta staplar vars höjd representerar numeriska värden från ett annat fält |
| Cirkeldiagram | Återger avsnittspajer som representerar unika objekt. Storleken på varje cirkel representerar numeriska värden från ett annat fält. |
| Linjediagram | Ritar numeriska värden för en serie unika objekt och ansluter de ritade värdena |
| Punktdiagram | Ritar numeriska värden för en serie unika objekt |
| Ytdiagram | Ritar numeriska värden för en serie unika objekt och fyller avsnitten under de ritade värdena |
| Staplat ytdiagram | Ritar numeriska värden för en serie unika objekt och staplar de ifyllda avsnitten under de ritade värdena |
| Tidsdiagram | Ritar värden efter antal på en linjär tidsskala |
Skapa frågor för effektiva diagram
Vid återgivning av diagram identifierar avancerad jakt automatiskt kolumner av intresse och de numeriska värden som ska aggregeras. För att få meningsfulla diagram skapar du dina frågor för att returnera de specifika värden som du vill se visualiserade. Här är några exempelfrågor och de resulterande diagrammen.
Aviseringar efter allvarlighetsgrad
Använd operatorn summarize för att hämta ett numeriskt antal av de värden som du vill diagrammet. Frågan nedan använder operatorn summarize för att hämta antalet aviseringar efter allvarlighetsgrad.
AlertInfo
| summarize Total = count() by Severity
När resultatet återges visar ett kolumndiagram varje allvarlighetsgradsvärde som en separat kolumn:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Nätfiske via e-post i de tio främsta avsändardomänerna
Om du har att göra med en lista med värden som inte är ändliga kan du använda operatorn Top för att endast kartlägga de värden som har flest instanser. Om du till exempel vill få de 10 främsta avsändardomänerna med flest nätfiskemeddelanden använder du frågan nedan:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Använd cirkeldiagramvyn för att effektivt visa distributionen mellan de översta domänerna:
Filaktiviteter över tid
Med hjälp av operatorn summarizebin() med funktionen kan du söka efter händelser som involverar en viss indikator över tid. Frågan nedan räknar händelser som involverar filen invoice.doc med 30 minuters intervall för att visa toppar i aktiviteten som är relaterad till den filen:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
Linjediagrammet nedan visar tydligt tidsperioder med mer aktivitet som involverar invoice.doc:
Exportera tabeller och diagram
När du har kört en fråga väljer du Exportera för att spara resultatet i den lokala filen. Den valda vyn avgör hur resultaten exporteras:
- Tabellvy – Frågeresultatet exporteras i tabellform som en Microsoft Excel-arbetsbok
- Valfritt diagram – Frågeresultatet exporteras som en JPEG-bild av det renderade diagrammet
Filtrera resultat
När du har kört en fråga väljer du Filter för att begränsa resultatet.
Om du vill lägga till ett filter markerar du de data som du vill filtrera efter genom att markera en eller flera av kryssrutorna. Välj sedan Lägg till.
Du kan begränsa resultaten ytterligare till specifika data genom att välja det nyligen tillagda filtret.
Då öppnas en listruta som visar de möjliga filter som du kan använda ytterligare. Markera en eller flera av kryssrutorna och välj sedan Använd.
Bekräfta att du har lagt till de filter som du vill använda genom att kontrollera avsnittet Filter.
Öka detaljnivån från frågeresultat
Du kan också utforska resultaten i linje med följande funktioner:
- Expandera ett resultat genom att välja listrutepilen till vänster om varje resultat
- Om tillämpligt expanderar du information för resultat i JSON- och matrisformat genom att välja listrutepilen till vänster om tillämpliga kolumnnamn för ökad läsbarhet
- Öppna sidofönstret om du vill se information om en post (samtidigt med expanderade rader)
Du kan också högerklicka på ett resultatvärde på en rad så att du kan använda det för att lägga till fler filter i den befintliga frågan eller kopiera värdet för användning i ytterligare undersökning.
För JSON- och matrisfält kan du dessutom högerklicka och uppdatera den befintliga frågan så att den inkluderar eller exkluderar fältet, eller för att utöka fältet till en ny kolumn.
Om du snabbt vill granska en post i frågeresultatet väljer du motsvarande rad för att öppna panelen Inspektera post . Panelen innehåller följande information baserat på den valda posten:
- Tillgångar – Sammanfattad vy över huvudtillgångarna (postlådor, enheter och användare) som finns i posten, berikad med tillgänglig information, till exempel risk- och exponeringsnivåer
- All information – Alla värden från kolumnerna i posten
Om du vill visa mer information om en specifik entitet i frågeresultatet, till exempel en dator, fil, användare, IP-adress eller URL, väljer du entitetsidentifieraren för att öppna en detaljerad profilsida för den entiteten.
Justera dina frågor från resultaten
Välj de tre punkterna till höger om en kolumn på panelen Inspektera post . Du kan använda alternativen för att:
- Leta uttryckligen efter det valda värdet (
==) - Undanta det valda värdet från frågan (
!=) - Få mer avancerade operatorer för att lägga till värdet i din fråga, till exempel
contains,starts withochends with
Lägga till objekt i Favoriter
Du kan lägga till vanliga scheman, funktioner, frågor och identifieringsregler i avsnittet Favoriter på varje flik på sidan avancerad jakt för snabb åtkomst.
Om du till exempel vill lägga AlertInfo till dina favoriter går du till fliken Schema och väljer de tre punkterna till höger om tabellen och väljer Lägg till i favoriter.
Ett meddelande visas som informerar dig om att objektet har lagts till i Favoriter.
Du kan göra samma sak för dina sparade funktioner, frågor och anpassade identifieringar i respektive Favoriter-avsnitt direkt under varje flik (Funktioner, frågor och identifieringsregler).
Obs!
Vissa tabeller i den här artikeln kanske inte är tillgängliga på Microsoft Defender för Endpoint. Aktivera Microsoft Defender XDR för att söka efter hot med hjälp av fler datakällor. Du kan flytta dina avancerade jaktarbetsflöden från Microsoft Defender för Endpoint till Microsoft Defender XDR genom att följa stegen i Migrera avancerade jaktfrågor från Microsoft Defender för Endpoint.
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
- Översikt över anpassade identifieringar
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.