Уточнение запроса в пошаговом режиме
Область применения:
- Microsoft Defender XDR
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Использование разных типов данных
Расширенная охота в интерактивном режиме поддерживает несколько типов данных, которые можно использовать для точной настройки запроса.
Числа
Строки
В текстовом поле "Бесплатный" введите значение и нажмите клавишу ВВОД , чтобы добавить его. Обратите внимание, что разделитель между значениями — ВВОД.
Логический
Datetime
Закрытый список. Вам не нужно запоминать точное значение, которое вы ищете. Вы можете легко выбрать один из предложенных закрытых списков, поддерживающих множественный выбор.
Использование подгрупп
Группы условий можно создать, щелкнув Добавить подгруппу:
Использование интеллектуального автозаполнения для поиска
Поддерживается интеллектуальное автозавершение для поиска устройств и учетных записей пользователей. Вам не нужно запоминать идентификатор устройства, полное имя устройства или имя учетной записи пользователя. Вы можете начать вводить первые несколько символов устройства или пользователя, которого вы ищете, и появится список, из которого можно выбрать нужные:
Используйте EventType
Вы даже можете найти определенные типы событий, такие как все неудачные входы, события изменения файла или успешные сетевые подключения, используя фильтр EventType в любом разделе, где это применимо.
Например, если вы хотите добавить условие, которое ищет удаление значений реестра, перейдите в раздел События реестра и выберите EventType.
Если выбрать EventType в разделе События реестра, вы можете выбрать одно из различных событий реестра, включая то, которое вы ищете, RegistryValueDeleted.
Примечание.
EventType является эквивалентом ActionType в схеме данных, с которой пользователи расширенного режима могут быть более знакомы.
Тестирование запроса с меньшим размером выборки
Если вы по-прежнему работаете над запросом и хотите быстро просмотреть его производительность и некоторые примеры результатов, измените количество возвращаемых записей, выбрав меньший набор в раскрывающемся меню Размер образца .
Размер выборки по умолчанию равен 10 000 результатов. Это максимальное количество записей, которые можно вернуть при охоте. Однако мы настоятельно рекомендуем уменьшить размер выборки до 10 или 100, чтобы быстро протестировать запрос, так как при этом требуется меньше ресурсов, пока вы все еще работаете над улучшением запроса.
После завершения запроса и его использования для получения всех релевантных результатов для охоты убедитесь, что размер выборки установлен в 10 тыс. (максимальное значение).
Переключение в расширенный режим после создания запроса
Вы можете щелкнуть Изменить в KQL , чтобы просмотреть запрос KQL, созданный выбранными условиями. При редактировании в KQL откроется новая вкладка в расширенном режиме с соответствующим запросом KQL:
В приведенном выше примере выбрано представление All, поэтому вы можете увидеть, что запрос KQL выполняет поиск во всех таблицах со свойствами файла с именем и SHA256, а также во всех соответствующих столбцах, охватывающих эти свойства.
Если изменить представление на Электронная почта & совместной работы, запрос сужается до:
См. также
- Расширенные квоты охоты и параметры использования
- Расширение расширенного охвата охоты с помощью правильных параметров
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.