Beispiel für erweiterte Suche für Microsoft Defender for Office 365
Gilt für:
- Microsoft Defender XDR
Möchten Sie mit der erweiterten Bedrohungssuche nach E-Mail-Bedrohungen beginnen? Führen Sie die folgenden Schritte aus:
Im Microsoft Defender for Office 365 Bereitstellungsleitfaden wird erläutert, wie Sie direkt losspringen und die Konfiguration an Tag 1 durchführen.
Je nach voreingestellter Sicherheitsrichtlinie und benutzerdefinierter Richtlinienauswahl sind ZAP-Einstellungen (Zero-Hour Auto Purge ) wichtig, um zu wissen, ob eine schädliche Nachricht nach der Übermittlung aus einem Postfach entfernt wurde.
Der schnelle Wechsel zur Kusto-Abfragesprache, um nach Problemen zu suchen, stellt einen Vorteil der Zusammenführung dieser beiden Sicherheitscenter dar. Sicherheitsteams können ZAP-Fehler überwachen, indem sie ihre nächsten Schritte im Microsoft Defender-Portal unter https://security.microsoft.com>Hunting>Advanced Hunting ausführen.
Vergewissern Sie sich auf der Seite Erweiterte Suche unter https://security.microsoft.com/v2/advanced-hunting, dass die Registerkarte Neue Abfrage ausgewählt ist.
Kopieren Sie die folgende Abfrage in das Feld Abfrage :
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
Wählen Sie Abfrage ausführen aus.
Die Daten aus dieser Abfrage werden im Ergebnisbereich unterhalb der Abfrage selbst angezeigt. Die Ergebnisse enthalten Informationen wie DeviceName
, AccountDisplayName
und ZapTime
in einem anpassbaren Resultset. Die Ergebnisse können auch zur Dokumentation exportiert werden. Um die Abfrage zur Wiederverwendung zu speichern, wählen Sie Speichern>unter aus, um die Abfrage ihrer Liste mit Abfragen, freigegebenen Abfragen oder Communityabfragen hinzuzufügen.
Verwandte Informationen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.