共用方式為


適用於 Office 365 的 Microsoft Defender 的進階搜捕範例

適用於:

  • Microsoft Defender XDR

想要開始使用進階搜捕來搜尋電子郵件威脅嗎? 請嘗試下列步驟:

適用於 Office 365 的 Microsoft Defender 部署指南說明如何直接進入並在第 1 天開始進行設定。

根據您的 預設安全策略與自定義原則選項零時差自動清除 (ZAP) 設定對於知道在傳遞之後是否已從信箱中移除惡意訊息非常重要。

快速瀏覽至 Kusto 查詢語言以搜捕問題,是這兩個安全性中心交集的優點。 安全性小組可以在搜進階>捕的 Microsoft Defender 入口網站https://security.microsoft.com>中採取後續步驟來監視 ZAP 遺漏。

  1. 在 的 [進階搜捕] 頁面上https://security.microsoft.com/v2/advanced-hunting,確認已選取 [追加查詢] 索引標籤

  2. 將下列查詢複製到 [查詢] 方塊中:

    EmailPostDeliveryEvents 
    | where Timestamp > ago(7d)
    //List malicious emails that were not zapped successfully
    | where ActionType has "ZAP" and ActionResult == "Error"
    | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
    //Get logon activity of recipients using RecipientEmailAddress and AccountUpn
    | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
    | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
    //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
    | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
    LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
    
  3. 選取 [執行查詢]

    [進階搜捕] 頁面 (在 [搜捕) ] 底下,並在查詢面板頂端選取 [查詢],然後執行 Kusto 查詢來擷取過去七天的 ZAP 動作。

    來自此查詢的數據會出現在查詢本身下方的 [ 結果 ] 面板中。 結果會在可自定義的結果集中包含、 AccountDisplayNameZapTimeDeviceName資訊。 也可以匯出結果做為記錄。 若要儲存查詢以供重複使用,請選取 [另>新檔] 將查詢新增至查詢、共用或社群查詢清單。

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群