Получите экспертную подготовку по расширенной охоте
Область применения:
- Microsoft Defender XDR
Быстро повысьте свои знания о расширенной охоте с помощью серии веб-трансляций для новых аналитиков безопасности и опытных охотников за угрозами. В этой серии описаны основные сведения о создании собственных сложных запросов. Начните с первого видео об основах или перейдите к более продвинутым видео, которые соответствуют вашему уровню опыта.
| Название | Описание | Просмотр | Запросы |
|---|---|---|---|
| Эпизод 1. Основы KQL | В этом эпизоде рассматриваются основы расширенной охоты в Microsoft Defender XDR. Узнайте о доступных расширенных данных охоты, а также базовом синтаксисе и операторах KQL. | YouTube (54:14) | Текстовый файл |
| Эпизод 2: Соединения | Продолжайте изучать данные в расширенной охоте и объединять таблицы вместе. Сведения о innerсоединениях , outerunique, иsemi, а также нюансы соединения Kusto innerunique по умолчанию. |
YouTube (53:33) | Текстовый файл |
| Эпизод 3. Обобщение, сводка и визуализация данных | Теперь, когда вы научились фильтровать, обрабатывать и объединять данные, пришло время для подведения итогов, количественной оценки, сводки и визуализации. В этом эпизоде рассматриваются summarize оператор и различные вычисления, а также дополнительные таблицы в схеме. Вы также научитесь превращать наборы данных в диаграммы, которые помогут вам извлечь аналитические сведения. |
YouTube (48:52) | Текстовый файл |
| Эпизод 4: Давайте охотиться! Применение KQL к отслеживанию инцидентов | В этом эпизоде вы узнаете, как отслеживать некоторые действия злоумышленников. Мы используем наше улучшенное понимание Kusto и расширенную охоту для отслеживания атаки. Узнайте о реальных способах, используемых в этой области, включая ЭБЦ кибербезопасности и их применение к реагированию на инциденты. | YouTube (59:36) | Текстовый файл |
Получите больше экспертной подготовки с L33TSP3AK: Расширенная охота в Microsoft Defender XDR, серия веб-трансляций для аналитиков, желающих расширить свои технические знания и практические навыки в проведении расследований безопасности с помощью расширенной охоты в Microsoft Defender XDR.
| Название | Описание | Просмотр | Запросы |
|---|---|---|---|
| Эпизод 1 | В этом эпизоде вы узнаете о различных рекомендациях по выполнению расширенных запросов охоты. Среди рассматриваемых тем: оптимизация запросов, использование расширенной охоты на программы-шантажиста, обработка JSON как динамического типа и работа с внешними операторами данных. | YouTube (56:34) | Текстовый файл |
| Эпизод 2 | В этом эпизоде вы узнаете, как исследовать и реагировать на подозрительные или необычные расположения входа и кражу данных с помощью правил переадресации папки "Входящие". Себастьен Молендийк (Sebastien Molendijk), старший руководитель программы Cloud Security CxE, рассказывает, как использовать расширенную охоту для изучения многоэтапных инцидентов с помощью Microsoft Defender for Cloud Apps данных. | YouTube (57:07) | Текстовый файл |
| Эпизод 3 | В этом эпизоде мы рассмотрим последние улучшения расширенной охоты, как импортировать внешний источник данных в запрос и как использовать секционирование для сегментирования больших результатов запросов на более мелкие результирующие наборы, чтобы избежать превышения ограничений API. | YouTube (40:59) | Текстовый файл |
Использование CSL-файла
Перед запуском эпизода перейдите к соответствующему текстовому файлу на GitHub и скопируйте его содержимое в расширенный редактор запросов охоты. Когда вы watch эпизоде, вы можете использовать скопированное содержимое, чтобы отслеживать говорящего и выполнять запросы.
В следующем фрагменте текстового файла, содержащего запросы, показан полный набор рекомендаций, помеченных как примечания с //помощью .
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Один и тот же текстовый файл содержит запросы до и после комментариев, как показано ниже. Чтобы выполнить определенный запрос с несколькими запросами в редакторе, переместите курсор в этот запрос и выберите Выполнить запрос.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Другие ресурсы
| Название | Описание | Просмотр |
|---|---|---|
| Объединение таблиц в KQL | Узнайте о возможности объединения таблиц при создании значимых результатов. | YouTube (4:17) |
| Оптимизация таблиц в KQL | Узнайте, как избежать превышения времени ожидания при выполнении сложных запросов путем оптимизации запросов. | YouTube (5:38) |
Статьи по теме
- Обзор расширенной охоты
- Познакомьтесь с языком запросов расширенной охоты
- Работа с результатами запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.