Procurar rapidamente informações de entidades ou eventos com go hunt

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Com a ação go hunt , pode investigar rapidamente eventos e vários tipos de entidade através de poderosas capacidades de investigação avançada baseadas em consultas. Esta ação executa automaticamente uma consulta de investigação avançada para encontrar informações relevantes sobre o evento ou entidade selecionado.

A ação go hunt está disponível em várias secções de Microsoft Defender XDR. Esta ação está disponível para visualização assim que os detalhes do evento ou da entidade forem apresentados. Por exemplo, pode utilizar a opção go hunt nas secções seguintes:

  • Na página do incidente, pode rever detalhes sobre utilizadores, dispositivos e muitas outras entidades associadas a um incidente. À medida que seleciona uma entidade, obtém informações adicionais e as várias ações que pode realizar nessa entidade. No exemplo abaixo, está selecionada uma caixa de correio, que mostra detalhes sobre a caixa de correio e a opção para procurar mais informações sobre a caixa de correio.

    A página Caixas de Correio com a opção Go hunt no portal do Microsoft Defender

  • Na página do incidente, também pode aceder a uma lista de entidades no separador Provas . Selecionar uma dessas entidades fornece uma opção para procurar rapidamente informações sobre essa entidade.

    A opção Go hunt para uma prova na página Incidente no portal do Microsoft Defender

  • Ao ver a linha cronológica de um dispositivo, pode selecionar um evento na linha cronológica para ver informações adicionais sobre esse evento. Assim que um evento estiver selecionado, terá a opção de procurar outros eventos relevantes na investigação avançada.

    A opção Procurar eventos relacionados na página de um evento no separador Linhas Cronológicas no portal do Microsoft Defender

Selecionar Go hunt ou Hunt para eventos relacionados transmite consultas diferentes, dependendo se selecionou uma entidade ou um evento.

Consulta para obter informações sobre entidades

Pode utilizar o go hunt para consultar informações sobre um utilizador, dispositivo ou qualquer outro tipo de entidade; a consulta verifica todas as tabelas de esquema relevantes para quaisquer eventos que envolvam essa entidade para devolver informações. Para manter os resultados geríveis, a consulta é:

  • no âmbito de cerca do mesmo período de tempo que a atividade mais antiga nos últimos 30 dias que envolve a entidade
  • associado ao incidente.

Eis um exemplo da consulta go hunt de um dispositivo:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

Tipos de entidade suportados

Pode utilizar a opção go hunt depois de selecionar qualquer um destes tipos de entidade:

  • Dispositivos
  • clusters de Email
  • E-mails
  • Ficheiros
  • Grupos
  • Endereços IP
  • Caixas de correio
  • Utilizadores
  • URLs

Consultar informações sobre eventos

Ao utilizar go hunt para consultar informações sobre um evento de linha cronológica, a consulta verifica todas as tabelas de esquema relevantes para outros eventos por volta da hora do evento selecionado. Por exemplo, a consulta seguinte lista eventos em várias tabelas de esquema que ocorreram por volta do mesmo período de tempo no mesmo dispositivo:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

Ajustar a consulta

Com algum conhecimento da linguagem de consulta, pode ajustar a consulta à sua preferência. Por exemplo, pode ajustar esta linha, que determina o tamanho da janela de tempo:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

Além de modificar a consulta para obter resultados mais relevantes, também pode:

Nota

Algumas tabelas neste artigo poderão não estar disponíveis no Microsoft Defender para Endpoint. Ative Microsoft Defender XDR para procurar ameaças através de mais origens de dados. Pode mover os fluxos de trabalho de investigação avançados de Microsoft Defender para Endpoint para Microsoft Defender XDR ao seguir os passos em Migrar consultas de investigação avançadas de Microsoft Defender para Endpoint.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.