Создание запросов охоты в интерактивном режиме в Microsoft Defender

Область применения:

• Microsoft Defender XDR

Построитель запросов в интерактивном режиме позволяет аналитикам создавать значимые запросы охоты, не зная язык запросов Kusto (KQL) или схему данных. Аналитики с каждым уровнем опыта могут использовать построитель запросов для фильтрации данных за последние 30 дней, чтобы искать угрозы, расширять исследования инцидентов, выполнять аналитику данных об угрозах или сосредоточиться на конкретных областях угроз.

Аналитик может выбрать набор данных для просмотра, а также фильтры и условия, которые следует использовать, чтобы сузить данные до того, что им нужно.

Вы можете watch это видео, чтобы получить обзор интерактивной охоты:

Открытие запроса в построителе

На странице Расширенный поиск выберите Создать , чтобы открыть новую вкладку запроса, и выберите Запрос в построителе.

Вы перейдете в интерактивный режим, в котором можно создать запрос, выбрав различные компоненты с помощью раскрывающихся меню.

Укажите домен данных для поиска

Вы можете управлять область охоты, выбрав домен, который охватывает запрос:

При выборе параметра Все содержатся данные из всех доменов, к которых у вас есть доступ. Сужение до определенного домена позволяет использовать фильтры, относящиеся только к этому домену.

Можно выбрать одно из следующих значений.

• Все домены— просмотр всех доступных данных в запросе.
• Конечные точки— просмотр данных конечных точек, предоставляемых Microsoft Defender для конечной точки.
• Email и совместная работа. Чтобы просмотреть данные приложений электронной почты и совместной работы, таких как SharePoint, OneDrive и другие. Пользователи, знакомые с Обозреватель угроз, могут найти те же данные здесь.
• Приложения и удостоверения. Для просмотра данных приложений и удостоверений, предоставляемых Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений; пользователи, знакомые с журналом действий, могут найти те же данные здесь.
• Облачная инфраструктура— просмотр данных облачной инфраструктуры, предоставляемых Microsoft Defender для облака.
• Управление экспозицией — просмотр данных управления экспозицией, предоставляемых Управление рисками Microsoft Security.

Использование базовых фильтров

По умолчанию интерактивная охота включает несколько базовых фильтров, чтобы быстро приступить к работе.

При выборе одного источника данных, например конечных точек, построитель запросов отображает только применимые группы фильтров. Затем вы можете выбрать фильтр, который вы хотите сузить, выбрав эту группу фильтров, например EventType, и выбрав фильтр по своему выбору.

Когда запрос будет готов, нажмите синюю кнопку Выполнить запрос . Если кнопка неактивна, это означает, что запрос необходимо заполнить или изменить дальше.

Загрузка примеров запросов

Еще один быстрый способ ознакомиться с интерактивной охотой — загрузить примеры запросов с помощью раскрывающегося меню Загрузка примеров запросов .

После загрузки примера запроса выберите Выполнить запрос.

Если вы ранее выбрали домен, список доступных примеров запросов изменяется соответствующим образом.

Чтобы восстановить полный список примеров запросов, выберите Все домены , а затем снова откройте загрузку примеров запросов.

Если загруженный пример запроса использует фильтры за пределами базового набора фильтров, кнопка переключателя неактивна. Чтобы вернуться к базовому набору фильтров, выберите Очистить все , а затем переключите все фильтры.

Использование дополнительных фильтров

Чтобы просмотреть другие группы фильтров и условия, выберите Переключатель, чтобы просмотреть дополнительные фильтры и условия.

Если переключатель Все фильтры активен, теперь можно использовать полный диапазон фильтров и условий в интерактивном режиме.

Создание условий

Чтобы указать набор данных для использования в запросе, выберите Выбрать фильтр. Изучите различные разделы фильтра, чтобы найти доступные вам сведения.

Введите заголовки раздела в поле поиска в верхней части списка, чтобы найти фильтр. Разделы, заканчивающиеся информацией , содержат фильтры, предоставляющие сведения о различных компонентах, которые можно просмотреть, и фильтры для состояний сущностей. Разделы, заканчивающиеся событиями , содержат фильтры, позволяющие искать любое отслеживаемое событие в сущности. Например, для поиска действий с определенными устройствами можно использовать фильтры в разделе События устройства .

Затем задайте соответствующее условие для дальнейшей фильтрации данных, выбрав их во втором раскрывающемся меню и при необходимости указав записи в третьем раскрывающемся меню:

Дополнительные условия можно добавить в запрос с помощью условий AND и OR . И возвращает результаты, удовлетворяющие всем условиям в запросе, в то время как ФУНКЦИЯ ИЛИ возвращает результаты, удовлетворяющие любому из условий в запросе.

Уточнение запроса позволяет автоматически отсеивать объемные записи, чтобы создать список результатов, которые уже предназначены для конкретной охоты на угрозы.

Чтобы узнать, какие типы данных поддерживаются, и другие возможности интерактивного режима, которые помогут вам настроить запрос, см. статью Уточнение запроса в интерактивном режиме.

Примеры пошаговые инструкции по запросам

Еще один способ ознакомиться с интерактивной охотой — загрузить примеры запросов, предварительно созданные в интерактивном режиме.

В разделе Приступая к работе на странице поиска мы предоставили три примера интерактивных запросов, которые можно загрузить. Примеры запросов содержат некоторые из наиболее распространенных фильтров и входных данных, которые обычно требуются при поиске. При загрузке любого из трех примеров запросов открывается интерактивное руководство по созданию записи с помощью интерактивного режима.

Следуйте инструкциям в синих пузырьках обучения, чтобы создать запрос. Выберите Выполнить запрос.

Попробуйте некоторые запросы

Поиск успешных подключений к определенному IP-адресу

Чтобы найти успешные сетевые подключения к определенному IP-адресу, начните вводить "ip", чтобы получить рекомендуемые фильтры:

Чтобы найти события с определенным IP-адресом, где IP-адрес является местом назначения связи, выберите DestinationIPAddress в разделе События IP-адреса. Затем выберите оператор equals . Введите IP-адрес в третьем раскрывающемся меню и нажмите клавишу ВВОД:

Затем, чтобы добавить второе условие, которое выполняет поиск успешных событий сетевого взаимодействия, найдите фильтр определенного типа события:

Фильтр EventType ищет различные типы зарегистрированных событий. Он эквивалентен столбцу ActionType , который существует в большинстве таблиц в расширенной охоте. Выберите его, чтобы выбрать один или несколько типов событий для фильтрации. Чтобы найти успешные события сетевого взаимодействия, разверните раздел DeviceNetworkEvents и выберите :ConnectionSuccess

Наконец, выберите Выполнить запрос , чтобы найти все успешные сетевые подключения к IP-адресу 52.168.117.170:

Охота на фишинговые или спам-сообщения с высокой достоверностью, доставляемые в папку "Входящие"

Чтобы найти все фишинговые и спамовые сообщения с высоким уровнем достоверности, которые были доставлены в папку "Входящие" во время доставки, сначала выберите ConfidenceLevel в разделе события Email, выберите равно и выберите Высокий в разделе Фишинг и Спам из рекомендуемого закрытого списка, который поддерживает множественный выбор:

Затем добавьте еще одно условие, на этот раз указав папку или DeliveryLocation, папку "Входящие".

См. также

• Уточнение запроса в пошаговом режиме
• Работа с результатами запроса в пошаговом режиме
• Сведения о схеме