Megosztás a következőn keresztül:

Speciális keresési lekérdezési eredmények

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

A speciális veszélyforrás-keresési lekérdezéseket létrehozhatja pontos információk visszaadására, de a lekérdezés eredményeivel is dolgozhat, hogy további megállapításokat nyerjen, és konkrét tevékenységeket és mutatókat vizsgáljon meg. A lekérdezés eredményein a következő műveleteket hajthatja végre:

  • Eredmények megtekintése táblázatként vagy diagramként
  • Táblázatok és diagramok exportálása
  • Részletes entitásadatok részletezés
  • A lekérdezések finomhangolása közvetlenül az eredményekből

Lekérdezési eredmények megtekintése táblázatként vagy diagramként

A speciális veszélyforrás-keresés alapértelmezés szerint táblázatos adatokként jeleníti meg a lekérdezési eredményeket. Ugyanazokat az adatokat is megjelenítheti, mint a diagramok. A speciális veszélyforrás-keresés a következő nézeteket támogatja:

Nézet típusa Leírás
Asztal Táblázatos formátumban jeleníti meg a lekérdezési eredményeket
Oszlopdiagram Egyedi elemek sorozatát jeleníti meg az x tengelyen függőleges sávként, amelyek magassága egy másik mező numerikus értékeit jelöli
Kördiagram Egyedi elemeket jelölő szakaszos kördiagramokat jelenít meg. Az egyes kördiagramok mérete egy másik mező numerikus értékeit jelöli.
Vonaldiagram Numerikus értékeket ábrázol egyedi elemek sorozatához, és összekapcsolja a ábrázolt értékeket
Pontdiagram Egyedi elemek sorozatának numerikus értékeit ábrázolja
Területdiagram Egyedi elemek sorozatának numerikus értékeit ábrázolja, és kitölti a ábrázolt értékek alatti szakaszokat
Halmozott területdiagram Egyedi elemek sorozatának numerikus értékeit ábrázolja, a kitöltött szakaszokat pedig halmozva a felrajzolt értékek alatt
Idődiagram Értékek ábrázolása darabszám alapján lineáris időskálán

Lekérdezések létrehozása hatékony diagramokhoz

Diagramok renderelésekor a speciális veszélyforrás-keresés automatikusan azonosítja a fontos oszlopokat és az összesítendő numerikus értékeket. Ha értelmes diagramokat szeretne kapni, hozza létre a lekérdezéseket, hogy visszaadja a vizualizációban megjeleníteni kívánt értékeket. Íme néhány mintalekérdezés és az eredményként kapott diagramok.

Riasztások súlyosság szerint

summarize Az operátorral lekérte a diagramon ábrázolni kívánt értékek numerikus számát. Az alábbi lekérdezés az summarize operátort használja a riasztások számának súlyosság szerinti lekéréséhez.

AlertInfo
| summarize Total = count() by Severity

Az eredmények megjelenítésekor az oszlopdiagram az egyes súlyossági értékeket külön oszlopként jeleníti meg:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Példa egy diagramra, amely speciális keresési eredményeket jelenít meg a Microsoft Defender portálon

Adathalász e-mailek az első tíz küldőtartományban

Ha nem véges értéklistával dolgozik, az Top operátorral csak a legtöbb példánnyal rendelkező értékeket ábrázolhatja. Ha például a legtöbb adathalász e-mailt tartalmazó első 10 feladó tartományt szeretné lekérni, használja az alábbi lekérdezést:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

A kördiagram nézetben hatékonyan jelenítheti meg az eloszlást a felső tartományok között:

A speciális keresési eredményeket megjelenítő kördiagram a Microsoft Defender portálon

Fájltevékenységek az idő múlásával

summarize Az operátort a bin() függvénnyel használva ellenőrizheti az adott jelzővel rendelkező eseményeket az idő múlásával. Az alábbi lekérdezés 30 perces időközönként számlálja meg a fájlt invoice.doc érintő eseményeket, hogy megjelenjenek a fájlhoz kapcsolódó tevékenységek csúcsai:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Az alábbi vonaldiagram egyértelműen kiemeli azokat az időszakokat, amelyek több tevékenységet foglalnak magukban invoice.doc:

A speciális keresési eredményeket megjelenítő vonaldiagram a Microsoft Defender portálon

Táblázatok és diagramok exportálása

A lekérdezés futtatása után válassza az Exportálás lehetőséget az eredmények helyi fájlba mentéséhez. A választott nézet határozza meg az eredmények exportálásának módját:

  • Táblázatos nézet – A lekérdezés eredményei táblázatos formában, Microsoft Excel-munkafüzetként lesznek exportálva
  • Bármely diagram – A lekérdezés eredményei a renderelt diagram JPEG-képeként lesznek exportálva

Eredmények szűrése

A lekérdezés futtatása után válassza a Szűrő lehetőséget az eredmények szűkítéséhez.

Képernyőkép a speciális veszélyforrás-keresés szűrőiről.

Szűrő hozzáadásához jelölje be azokat az adatokat, amelyeket szűrni szeretne egy vagy több jelölőnégyzet bejelölésével. Ezután válassza a Hozzáadás lehetőséget.

Képernyőkép a speciális veszélyforrás-keresés szűrők legördülő menüjéről.

Az újonnan hozzáadott szűrő kiválasztásával még tovább szűkítheti az eredményeket adott adatokra.

Képernyőkép a speciális veszélyforrás-keresés új szűrőtablettáról.

Ekkor megnyílik egy legördülő lista, amely a további felhasználható szűrőket mutatja. Jelöljön be egy vagy több jelölőnégyzetet, majd válassza az Alkalmaz lehetőséget.

Képernyőkép az új szűrő speciális veszélyforrás-keresés legördülő menüjéről.

A Szűrők szakaszban ellenőrizze, hogy hozzáadta-e a kívánt szűrőket.

Képernyőkép a speciális veszélyforrás-kereséshez hozzáadott szűrőkről.

Lehatolás a lekérdezés eredményeiből

Az eredményeket az alábbi funkciókkal összhangban is megvizsgálhatja:

  • Az eredmények kibontásához válassza az egyes találatok bal oldalán található legördülő nyilat
  • Adott esetben bontsa ki a JSON- és tömbformátumú eredmények részleteit a megfelelő oszlopnevek bal oldalán található legördülő nyíllal a jobb olvashatóság érdekében
  • Nyissa meg az oldalsó panelt egy rekord részleteinek megtekintéséhez (egyidejűleg kibontott sorokkal)

Képernyőkép az eredmények kibontásával a részletes elemzéshez

A jobb gombbal egy sor eredményértékére is kattinthat, így további szűrőket adhat hozzá a meglévő lekérdezéshez, vagy átmásolhatja az értéket a további vizsgálathoz.

Képernyőkép a lehetőségekről, amikor a jobb gombbal kattint egy beállításra

Továbbá JSON- és tömbmezők esetén a jobb gombbal kattintva és frissítve frissítheti a meglévő lekérdezést, hogy belefoglalja vagy kizárja a mezőt, vagy kiterjesztheti a mezőt egy új oszlopra.

Képernyőkép a JSON- és tömbmezők egyik lehetőségére a jobb gombbal kattintva elérhető lehetőségekről

Ha gyorsan meg szeretne vizsgálni egy rekordot a lekérdezés eredményeiben, válassza ki a megfelelő sort a Rekord vizsgálata panel megnyitásához. A panel a következő információkat biztosítja a kiválasztott rekord alapján:

  • Eszközök – A rekordban található fő eszközök (postaládák, eszközök és felhasználók) összesített nézete, amely a rendelkezésre álló információkkal, például a kockázati és expozíciós szintekkel bővült
  • Minden részlet – A rekord oszlopainak összes értéke

A kiválasztott rekord a Microsoft Defender portálon való vizsgálatára szolgáló panellel

Ha további információt szeretne megtekinteni egy adott entitásról a lekérdezés eredményeiben, például egy gépről, fájlról, felhasználóról, IP-címről vagy URL-címről, válassza ki az entitás azonosítóját az entitás részletes profillapjának megnyitásához.

A lekérdezések finomhangolása az eredmények alapján

Válassza a Rekord vizsgálata panel bármely oszlopától jobbra található három pontot. A következő lehetőségek közül választhat:

  • A kijelölt érték explicit keresése (==)
  • A kijelölt érték kizárása a lekérdezésből (!=)
  • Speciálisabb operátorok lekérése az érték lekérdezéshez való hozzáadásához, például contains, starts withés ends with

Képernyőkép a Microsoft Defender portál Rekordvizsgálat lapján található Művelettípus panelről.

Elemek hozzáadása a kedvencekhez

A gyors elérés érdekében hozzáadhatja a gyakran használt sémákat, függvényeket, lekérdezéseket és észlelési szabályokat a speciális veszélyforrás-keresés lapjának Kedvencek szakaszához.

Képernyőkép a speciális veszélyforrás-keresés oldaláról a Kedvencek szakasz kiemelésével.

Ha például hozzá szeretne adni AlertInfo a Kedvencekhez, lépjen a Séma lapra, válassza ki a táblázat jobb oldalán található három elemet, és válassza a Hozzáadás a kedvencekhez lehetőséget.

Képernyőkép a Hozzáadás a kedvencekhez lehetőségről a speciális veszélyforrás-keresés oldalon.

Megjelenik egy értesítés, amely tájékoztatja, hogy az elem sikeresen fel lett véve a Kedvencek közé.

Képernyőkép arról, hogy a speciális veszélyforrás-keresés során új elemet adtak hozzá a Kedvencek közé.

Ugyanezt megteheti a mentett függvények, lekérdezések és egyéni észlelések esetében is a kedvencek megfelelő szakaszaiban, közvetlenül az egyes lapok alatt (Függvények, Lekérdezések és Észlelési szabályok).

Megjegyzés:

Előfordulhat, hogy a cikkben szereplő táblák némelyike nem érhető el a Végponthoz készült Microsoft Defender. Kapcsolja be a Microsoft Defender XDR, hogy több adatforrással keressen fenyegetéseket. A speciális veszélyforrás-keresési munkafolyamatokat Végponthoz készült Microsoft Defender-ról Microsoft Defender XDR-ra helyezheti át a speciális veszélyforrás-keresési lekérdezések áttelepítése Végponthoz készült Microsoft Defender.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.