Skapa jaktfrågor med hjälp av guidat läge i Microsoft Defender

Gäller för:

  • Microsoft Defender XDR

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Frågeverktyget i guidat läge gör det möjligt för analytiker att skapa meningsfulla jaktfrågor utan att känna till Kusto-frågespråk (KQL) eller dataschemat. Analytiker från varje nivå av erfarenhet kan använda frågeverktyget för att filtrera igenom data från de senaste 30 dagarna för att söka efter hot, expandera incidentundersökningar, utföra dataanalys på hotdata eller fokusera på specifika hotområden.

Analytikern kan välja vilken datauppsättning som ska tittas på och vilka filter och villkor som ska användas för att begränsa data till vad de behöver.

Du kan watch den här videon för att få en översikt över guidad jakt:

Öppna Fråga i builder

På sidan Avancerad jakt väljer du Skapa ny för att öppna en ny frågeflik och väljer Fråga i builder.

Skärmbild av frågeverktyget för guidat läge

Detta leder dig till det guidade läget, där du sedan kan konstruera frågan genom att välja olika komponenter med hjälp av listmenyer.

Ange den datadomän som ska jagas i

Du kan styra jaktens omfattning genom att välja vilken domän frågan omfattar:

Skärmbild av listrutan för frågeverktygets domäner i guidat läge

Om du väljer Alla inkluderas data från alla domäner som du för närvarande har åtkomst till. Om du begränsar till en specifik domän kan du endast använda filter som är relevanta för den domänen.

Du kan välja mellan:

  • Alla domäner – för att titta igenom alla tillgängliga data i din fråga.
  • Slutpunkter – För att titta igenom slutpunktsdata enligt Microsoft Defender för Endpoint.
  • Email och samarbete – För att titta igenom data för e-post- och samarbetsappar som SharePoint, OneDrive och andra. Användare som är bekanta med Threat Explorer kan hitta samma data här.
  • Appar och identiteter – Om du vill titta igenom program- och identitetsdata som tillhandahålls av Microsoft Defender for Cloud Apps och Microsoft Defender for Identity kan användare som är bekanta med aktivitetsloggen hitta samma data här.
  • Molninfrastruktur – För att titta igenom molninfrastrukturdata som tillhandahålls av Microsoft Defender för molnet.
  • Exponeringshantering – Att titta igenom exponeringshanteringsdata som tillhandahålls av Microsoft Security Exposure Management.

Använda grundläggande filter

Som standard innehåller guidad jakt några grundläggande filter för att komma igång snabbt.

Skärmbild av grundläggande filteruppsättning för frågeverktyget i guidat läge

När du väljer en datakälla, till exempel slutpunkter, visar frågeverktyget endast tillämpliga filtergrupper. Du kan sedan välja ett filter som du är intresserad av att begränsa genom att välja den filtergruppen, till exempel EventType, och välja önskat filter.

Skärmbild av den grundläggande filteruppsättningen för frågeverktyget för guidat läge

När frågan är klar väljer du den blå knappen Kör fråga . Om knappen är nedtonad innebär det att frågan måste fyllas i eller redigeras ytterligare.

Obs!

Den grundläggande filtervyn använder endast OPERATORN AND , vilket innebär att körning av frågan genererar resultat för vilka alla angivna filter är sanna.

Läsa in exempelfrågor

Ett annat snabbt sätt att bekanta sig med guidad jakt är att läsa in exempelfrågor med listrutan Läs in exempelfrågor . Skärmbild av frågeverktygets lista över exempel på inläsning av exempelfrågor i guidat läge

Obs!

Om du väljer en exempelfråga åsidosätts den befintliga frågan.

När exempelfrågan har lästs in väljer du Kör fråga.

Skärmbild av frågeverktygets inlästa fråga i guidat läge

Om du tidigare har valt en domän ändras listan över tillgängliga exempelfrågor i enlighet med detta.

Skärmbild av lista över begränsade frågeverktyget för guidat läge

Om du vill återställa den fullständiga listan med exempelfrågor väljer du Alla domäner och öppnar sedan Läs in exempelfrågor igen.

Om den inlästa exempelfrågan använder filter utanför den grundläggande filteruppsättningen är växlingsknappen nedtonad. Om du vill gå tillbaka till den grundläggande filteruppsättningen väljer du Rensa alla och växlar sedan Alla filter.

Använda fler filter

Om du vill visa fler filtergrupper och villkor väljer du Växla för att se fler filter och villkor.

Skärmbild av växlingsknappen fler filter för frågeverktyget i guidat läge

När växlingsknappen Alla filter är aktiv kan du nu använda alla filter och villkor i guidat läge.

Skärmbild av frågeverktyget för guidat läge som alla filter är aktiva

Skapa villkor

Om du vill ange en uppsättning data som ska användas i frågan väljer du Välj ett filter. Utforska de olika filteravsnitten för att hitta det som är tillgängligt för dig.

Skärmbild som visar olika filter som du kan använda

Skriv avsnittsrubrikerna i sökrutan överst i listan för att hitta filtret. Avsnitt som slutar med information innehåller filter som ger information om de olika komponenter som du kan titta på och filter för tillstånd för entiteter. Avsnitt som slutar med händelser innehåller filter som gör att du kan söka efter alla övervakade händelser på entiteten. Om du till exempel vill söka efter aktiviteter som involverar vissa enheter kan du använda filtren under avsnittet Enhetshändelser .

Obs!

Om du väljer ett filter som inte finns i listan med grundläggande filter inaktiveras eller gråtonas växlingsknappen för att återgå till den grundläggande filtervyn. Om du vill återställa frågan eller ta bort befintliga filter i den aktuella frågan väljer du Rensa alla. Detta reaktivaterar också listan med grundläggande filter.

Ange sedan lämpligt villkor för att ytterligare filtrera data genom att välja dem från den andra nedrullningsbara menyn och ange poster i den tredje nedrullningsbara menyn om det behövs:

Skärmbild som visar olika villkor som du kan använda

Du kan lägga till fler villkor i frågan med hjälp av villkoren AND och OR . AND returnerar resultat som uppfyller alla villkor i frågan, medan OR returnerar resultat som uppfyller något av villkoren i frågan.

Skärmbild som visar AND OR-operatorer

Genom att förfina frågan kan du automatiskt söka igenom voluminösa poster för att generera en lista med resultat som redan är riktade mot ditt specifika hotjaktbehov.

Om du vill veta vilka datatyper som stöds och andra funktioner för guidat läge som hjälper dig att finjustera frågan läser du Förfina frågan i guidat läge.

Prova exempel på frågegenomgångar

Ett annat sätt att bekanta sig med guidad jakt är att läsa in exempelfrågor som skapats i interaktivt läge.

I avsnittet Komma igång på jaktsidan har vi lagt till tre guidade frågeexempel som du kan läsa in. Frågeexemplen innehåller några av de vanligaste filtren och indata som du normalt behöver i din jakt. När du läser in någon av de tre exempelfrågorna öppnas en guidad rundtur i hur du skapar posten med hjälp av guidat läge.

Skärmbild av frågeverktyget för guidat läge för att komma igång med frågegenomgångar

Skapa frågan genom att följa anvisningarna i de blå undervisningsbubblorna. Välj Kör fråga.

Prova några frågor

Jaga efter lyckade anslutningar till en specifik IP-adress

Om du vill söka efter lyckad nätverkskommunikation till en specifik IP-adress börjar du skriva "ip" för att hämta föreslagna filter:

Skärmbild av frågeverktyget för guidat läge för att söka efter lyckade anslutningar till ett specifikt IP-filter

Om du vill söka efter händelser som rör en specifik IP-adress där IP-adressen är målet för kommunikationen väljer du DestinationIPAddress under avsnittet IP-adresshändelser. Välj sedan operatorn lika med . Skriv IP-adressen i den tredje nedrullningsbara menyn och tryck på Retur:

Skärmbild av frågeverktyget för guidat läge för att söka efter lyckade anslutningar till en specifik IP-adress

Om du sedan vill lägga till ett andra villkor som söker efter lyckade nätverkskommunikationshändelser söker du efter filtret för en viss händelsetyp:

Skärmbild av frågeverktyget för guidat läge som söker efter lyckade anslutningar till en specifik IP-adress, det andra villkoret

EventType-filtret söker efter de olika händelsetyper som loggas. Det motsvarar kolumnen ActionType som finns i de flesta tabeller i avancerad jakt. Välj den för att välja en eller flera händelsetyper att filtrera efter. Om du vill söka efter lyckade nätverkskommunikationshändelser expanderar du avsnittet DeviceNetworkEvents och väljer ConnectionSuccesssedan :

Skärmbild av frågeverktyget för guidat läge som söker efter lyckade anslutningar till ett specifikt tredje IP-villkor

Välj slutligen Kör fråga för att söka efter all lyckad nätverkskommunikation till IP-adressen 52.168.117.170:

Skärmbild av frågeverktyget för guidat läge för att söka efter lyckade anslutningar till specifika IP-resultatvyer

Jaga efter nätfiske eller skräppost som levereras till inkorgen

Om du vill söka efter all nätfiske och skräppost som levererades till inkorgsmappen vid tidpunkten för leveransen väljer du först ConfidenceLevel under Email Händelser, väljer lika med och väljer Hög under både nätfiske och skräppost från den föreslagna stängda listan som stöder flera val:

Skärmbild av frågebyggare för guidat läge som jagar nätfiske med hög konfidens eller skräppost som levereras till inkorgen, första villkoret

Lägg sedan till ett annat villkor. Den här gången anger du mappen eller DeliveryLocation, Inbox/folder.

Skärmbild av frågebyggare för guidat läge som jagar nätfiske med hög konfidens eller skräppost som levereras till inkorgen, andra villkoret

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.