共用方式為


取得進階搜捕的專家訓練

適用於:

  • Microsoft Defender XDR

使用 追蹤敵人、適用於新安全性分析師和經驗豐富的威脅搜捕者的網路廣播系列,快速提升您對進階搜捕的知識。 本系列會引導您完成基本概念,以建立您自己的複雜查詢。 從基本概念的第一個影片開始,或跳到更進階的影片,以符合您的體驗層級。

標題 描述 觀看 查詢
第 1 集:KQL 基本概念 本集涵蓋 Microsoft Defender 全面偵測回應 進階搜捕的基本概念。 瞭解可用的進階搜捕數據和基本 KQL 語法和運算符。 YouTube (54:14) 文字檔
第2集:聯結 繼續瞭解進階搜捕中的數據,以及如何將數據表聯結在一起。 瞭解 innerouteruniquesemi 聯結,並了解預設 Kusto innerunique 聯結的細微差別。 YouTube (53:33) 文字檔
第3集:摘要、樞紐及可視化數據 既然您已瞭解如何篩選、操作及聯結數據,現在可以進行摘要、量化、樞紐分析和可視化。 這一集討論運算 summarize 符和各種計算,同時在架構中引入其他數據表。 您也將瞭解如何將數據集轉換成可協助您擷取深入解析的圖表。 YouTube (48:52) 文字檔
第 4 集:讓我們來搜捕! 將 KQL 套用至事件追蹤 在此集中,您將瞭解如何追蹤一些攻擊者活動。 我們使用對 Kusto 和進階搜捕的進階了解來追蹤攻擊。 瞭解欄位中使用的實際技巧,包括網路安全性 APC,以及如何將它們套用至事件回應。 YouTube (59:36) 文字檔

透過L33TSP3AK取得更專業的訓練:Microsoft Defender 全面偵測回應 中的進階搜捕,這是一個網路廣播系列,讓分析師想要在 Microsoft Defender 全面偵測回應 中使用進階搜捕來展開其技術知識和實際技能來進行安全性調查。

標題 描述 觀看 查詢
第 1 集 在此集中,您將了解執行進階搜捕查詢的不同最佳做法。 涵蓋的主題包括:如何優化查詢、使用進階搜捕勒索軟體、以動態類型處理 JSON,以及使用外部數據運算符。 YouTube (56:34) 文字檔
第 2 集 在此集中,您將瞭解如何透過收件匣轉送規則調查和回應可疑或不尋常的登入位置和數據外流。 雲端安全性 CxE 資深計劃經理 Sebastien Molendijk 分享如何使用進階搜捕來調查具有 Microsoft Defender for Cloud Apps 數據的多階段事件。 YouTube (57:07) 文字檔
第 3 集 在此集中,我們將討論進階搜捕的最新改善、如何將外部數據源匯入查詢,以及如何使用數據分割將大型查詢結果分割成較小的結果集,以避免達到 API 限制。 YouTube (40:59) 文字檔

如何使用 CSL 檔案

開始一集之前,請先存取 GitHub 上的對應文字檔 ,並將其內容複製到進階搜捕查詢編輯器。 當您 watch 一集時,您可以使用複製的內容來追蹤說話者並執行查詢。

下列從包含查詢的文本檔摘錄顯示一組以標示為批註 //的完整指引。

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

相同的文本檔包含批注前後的查詢,如下所示。 若要 在編輯器中執行具有多個查詢的特定查詢,請將游標移至該查詢,然後選取 [ 執行查詢]

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

其他資源

標題 描述 觀看
在 KQL 中聯結數據表 了解聯結數據表以建立有意義結果的威力。 YouTube (4:17)
優化 KQL 中的數據表 瞭解如何藉由優化查詢,避免執行複雜查詢時發生逾時。 YouTube (5:38)

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群