Obter formação especializada em investigação avançada

Aplica-se a:

  • Microsoft Defender XDR

Aumente o seu conhecimento de investigação avançada rapidamente com Tracking the adversary, uma série webcast para novos analistas de segurança e caçadores de ameaças experientes. A série orienta-o ao longo das noções básicas até à criação das suas próprias consultas sofisticadas. Comece com o primeiro vídeo sobre noções básicas ou avance para vídeos mais avançados que se adequam ao seu nível de experiência.

Cargo Descrição Ver Consultas
Episódio 1: Noções básicas da KQL Este episódio aborda as noções básicas da caça avançada em Microsoft Defender XDR. Saiba mais sobre os dados de investigação avançados disponíveis e a sintaxe e operadores básicos de KQL. YouTube (54:14) Ficheiro de texto
Episódio 2: Associações Continue a aprender sobre os dados na investigação avançada e como associar tabelas. Saiba mais sobre inner, , outeruniquee semi associações e compreenda as nuances da associação do Kusto innerunique predefinida. YouTube (53:33) Ficheiro de texto
Episódio 3: Resumir, dinamizar e visualizar dados Agora que aprendeu a filtrar, manipular e associar dados, está na altura de resumir, quantificar, dinamizar e visualizar. Este episódio aborda o summarize operador e vários cálculos, ao mesmo tempo que apresenta tabelas adicionais no esquema. Também irá aprender a transformar conjuntos de dados em gráficos que podem ajudá-lo a extrair informações. YouTube (48:52) Ficheiro de texto
Episódio 4: Vamos caçar! Aplicar o KQL ao controlo de incidentes Neste episódio, vai aprender a controlar alguma atividade de atacante. Utilizamos a nossa compreensão melhorada do Kusto e a investigação avançada para rastrear um ataque. Conheça os truques reais utilizados no campo, incluindo os ABCs de cibersegurança e como aplicá-los à resposta a incidentes. YouTube (59:36) Ficheiro de texto

Obtenha mais formação especializada com L33TSP3AK: Investigação avançada em Microsoft Defender XDR, uma série de webcast para analistas que procuram expandir os seus conhecimentos técnicos e competências práticas na realização de investigações de segurança com investigação avançada em Microsoft Defender XDR.

Cargo Descrição Ver Consultas
Episódio 1 Neste episódio, irá aprender as diferentes melhores práticas na execução de consultas de investigação avançadas. Entre os tópicos abordados estão: como otimizar as suas consultas, utilizar a investigação avançada para ransomware, lidar com JSON como um tipo dinâmico e trabalhar com operadores de dados externos. YouTube (56:34) Ficheiro de texto
Episódio 2 Neste episódio, irá aprender a investigar e responder a localizações de início de sessão suspeitas ou invulgares e a transferência de dados por transferência de dados através de regras de reencaminhamento de caixas de entrada. Sebastien Molendijk, Gestor de Programas Sénior do CxE de Segurança da Cloud, partilha como utilizar a investigação avançada para investigar incidentes em várias fases com Microsoft Defender for Cloud Apps dados. YouTube (57:07) Ficheiro de texto
Episódio 3 Neste episódio, vamos abordar as melhorias mais recentes à investigação avançada, como importar uma origem de dados externa para a sua consulta e como utilizar a criação de partições para segmentar grandes resultados de consultas em conjuntos de resultados mais pequenos para evitar atingir os limites da API. YouTube (40:59) Ficheiro de texto

Como utilizar o ficheiro CSL

Antes de iniciar um episódio, aceda ao ficheiro de texto correspondente no GitHub e copie os respetivos conteúdos para o editor de consultas de investigação avançada. À medida que watch um episódio, pode utilizar os conteúdos copiados para seguir o orador e executar consultas.

O seguinte excerto de um ficheiro de texto que contém as consultas mostra um conjunto abrangente de orientações marcadas como comentários com //.

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

O mesmo ficheiro de texto inclui consultas antes e depois dos comentários, conforme mostrado abaixo. Para executar uma consulta específica com várias consultas no editor, mova o cursor para essa consulta e selecione Executar consulta.

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

Outros recursos

Cargo Descrição Ver
Associar tabelas no KQL Aprenda o poder de associar tabelas na criação de resultados significativos. YouTube (4:17)
Otimizar tabelas no KQL Saiba como evitar tempos limite ao executar consultas complexas ao otimizar as consultas. YouTube (5:38)

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.