Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Хотя вы можете создавать расширенные запросы охоты для получения точных сведений, вы также можете работать с результатами запроса, чтобы получить дополнительные сведения и исследовать конкретные действия и индикаторы. С результатами запроса можно выполнить следующие действия:
- Просмотр результатов в виде таблицы или диаграммы
- Экспорт таблиц и диаграмм
- Детализация до подробных сведений о сущности
- Настройка запросов непосредственно из результатов
- Просмотр сведений о выполнении запроса и устранение ошибок
- Просмотр временная шкала событий
Просмотр результатов запроса в виде таблицы или диаграммы
По умолчанию при расширенной охоте результаты запроса отображаются в виде табличных данных. Вы также можете отобразить те же данные, что и диаграмма. Расширенная охота поддерживает следующие представления:
| Тип представления | Описание |
|---|---|
| Table | Отображение результатов запроса в табличном формате |
| Гистограмма | Отрисовывает ряд уникальных элементов на оси X в виде вертикальных полос, высота которых представляет числовые значения из другого поля. |
| Круговая диаграмма | Отрисовывает секционные пироги, представляющие уникальные элементы. Размер каждого круга представляет числовые значения из другого поля. |
| График | Отображает числовые значения для ряда уникальных элементов и соединяет значения, нарисованные на диаграмме |
| Точечная диаграмма | Отображает числовые значения для ряда уникальных элементов |
| Диаграмма с областями | Отображает числовые значения для ряда уникальных элементов и заполняет разделы под значениями, нарисовав их. |
| Диаграмма с областями с накоплением | График числовых значений для ряда уникальных элементов и сложение заполненных разделов под отображаемыми значениями |
| Диаграмма времени | Отображение значений по подсчету на линейной шкале времени |
Важно!
На портале Microsoft Defender можно просмотреть до 100 000 результатов расширенных запросов охоты. Дополнительные сведения о расширенных квотах охоты и параметрах использования.
Создание запросов для эффективных диаграмм
При отрисовке диаграмм расширенная охота автоматически определяет интересующие столбцы и числовые значения для агрегирования. Чтобы получить осмысленные диаграммы, создайте запросы, возвращающие определенные значения, которые вы хотите визуализировать. Ниже приведены примеры запросов и результирующие диаграммы.
Оповещения по серьезности
Используйте оператор , summarize чтобы получить числовое число значений, которые требуется на диаграмме. В следующем запросе summarize оператор используется для подсчета количества оповещений по серьезности.
AlertInfo
| summarize Total = count() by Severity
При отрисовке результатов гистограмма отображает каждое значение серьезности в виде отдельного столбца:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Фишинговые сообщения электронной почты в первой десятке доменов отправителей
Если вы работаете со списком значений, которые не являются конечными, используйте Top оператор для диаграммы только значений с большинством экземпляров. Например, чтобы получить первые 10 доменов отправителей с наибольшим числом фишинговых сообщений электронной почты, используйте следующий запрос:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Используйте представление круговой диаграммы для эффективного отображения распределения по верхним доменам:
Действия с файлами с течением времени
С помощью summarize оператора с функцией bin() можно проверка для событий, связанных с определенным индикатором с течением времени. Следующий запрос подсчитывает события, связанные с файлом invoice.doc , с интервалом в 30 минут, чтобы отобразить пики активности, связанные с этим файлом:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
На следующей графике четко выделены периоды времени с дополнительными действиями, включающими invoice.doc:
Экспорт таблиц и диаграмм
После выполнения запроса выберите Экспорт , чтобы сохранить результаты в локальном файле. Выбранное представление определяет, как экспортируются результаты:
- Представление таблицы. Результаты запроса экспортируются в табличном виде в виде книги Microsoft Excel.
- Любая диаграмма. Результаты запроса экспортируются в виде изображения отрисоченной диаграммы в формате JPEG.
Результаты фильтрации
После выполнения запроса выберите Фильтр , чтобы сузить результаты.
Чтобы добавить фильтр, выберите данные для фильтрации, выбрав одно или несколько полей проверка. Затем нажмите Добавить.
Вы можете еще больше сузить результаты до конкретных данных, выбрав только что добавленный фильтр.
При этом откроется раскрывающийся список с возможными фильтрами, которые можно использовать. Выберите одно или несколько полей проверка, а затем нажмите кнопку Применить.
Убедитесь, что вы добавили нужные фильтры, проверив раздел Фильтры .
Детализация по результатам запроса
Вы можете просмотреть результаты в строке с помощью следующих функций:
- Разверните результат, щелкнув стрелку раскрывающегося списка слева от каждого результата.
- Если применимо, разверните сведения о результатах в формате JSON и массива, выбрав стрелку раскрывающегося списка слева от имени применимых столбцов, чтобы добавить удобочитаемость.
- Откройте боковую панель, чтобы просмотреть сведения о записи (одновременно с развернутыми строками).
Вы также можете щелкнуть правой кнопкой мыши любое результируемое значение в строке, чтобы использовать его для добавления дополнительных фильтров в существующий запрос или копирования значения для дальнейшего изучения.
Для полей JSON и массива можно щелкнуть правой кнопкой мыши и обновить существующий запрос, чтобы включить или исключить поле или расширить поле до нового столбца.
Чтобы быстро проверить запись в результатах запроса, выберите соответствующую строку, чтобы открыть панель Проверка записи . На панели отображаются следующие сведения на основе выбранной записи:
- Активы — обобщенное представление основных ресурсов (почтовых ящиков, устройств и пользователей), найденных в записи, дополненное доступной информацией, например уровнями риска и риска.
- Все сведения — все значения из столбцов в записи.
Чтобы просмотреть дополнительные сведения о конкретной сущности в результатах запроса, например компьютер, файл, пользователь, IP-адрес или URL-адрес, выберите идентификатор сущности, чтобы открыть страницу подробного профиля для этой сущности.
Регулирование запросов на основе результатов
Выделите три точки справа от любого столбца на панели Проверка записи . Используйте следующие параметры:
- открытого поиска избранного значения (
==) - исключения избранного значения из запроса (
!=) - Получите более сложные операторы для добавления значения в запрос, например
contains,starts withиends with
Просмотр сведений о выполнении запроса и устранение ошибок
Просмотрите сведения о выполнении запроса, чтобы понять, почему запрос вел себя так, как он выполнялся, будь то успешный или сбой. Эта функция обеспечивает большую видимость выполнения запросов и помогает более эффективно устранять любые проблемы.
После выполнения запроса выберите Сведения о запросе над результатами запроса, чтобы открыть боковую панель:
На боковой панели Сведения о запросе выберите вкладки Обзор, Необработанные статистические данные и Ошибки, чтобы просмотреть разбивку по времени выполнения запроса, источник данных и область, использование ресурсов и другие сведения.
В случае сбоя запроса выберите Просмотреть полные сведения о запросе в нижней части сообщения об ошибке, чтобы открыть боковую панель Сведения о запросе . Сообщение об ошибке также может предоставить объяснение причины сбоя запроса и практические предложения по его исправлению.
Добавление элементов в избранное
Добавьте часто используемые схемы, функции, запросы и правила обнаружения в раздел Избранное каждой вкладки на странице расширенной охоты для быстрого доступа.
Например, чтобы добавить AlertInfo в избранное, перейдите на вкладку Схема , выберите три точки справа от таблицы и выберите Добавить в избранное.
Появится уведомление о том, что элемент был успешно добавлен в избранное.
То же самое можно сделать для сохраненных функций, запросов и пользовательских обнаружений в соответствующих разделах Избранное прямо на каждой вкладке (функции, запросы и правила обнаружения).
Примечание.
Некоторые таблицы в этой статье могут быть недоступны на Microsoft Defender для конечной точки. Включите Microsoft Defender XDR для поиска угроз с помощью дополнительных источников данных. Вы можете переместить расширенные рабочие процессы охоты с Microsoft Defender для конечной точки на Microsoft Defender XDR, выполнив действия, описанные в разделе Миграция расширенных запросов охоты из Microsoft Defender для конечной точки.
Автоматическая отрисовка временная шкала
По умолчанию над расширенными результатами охоты отображается временная шкала, в котором отображается количество событий с течением времени. Временная шкала автоматически отрисовывается на основе столбца Timestamp или timeGenerated в результатах запроса. Он автоматически обновляется при применении фильтров и помогает быстро выявлять аномальное поведение и тенденции, а также сосредоточиться на интересных результатах.
Вы можете выбрать, следует ли отображать временная шкала по умолчанию в параметрах параметров диаграммы.
Временная шкала автоматически настраивает свое разрешение в зависимости от диапазона результатов.
Фильтрация результатов временная шкала
Выберите любую точку на временная шкала, чтобы отфильтровать результаты и временная шкала по заданному диапазону времени. Временная шкала также обновляет масштаб в соответствии с выбранным периодом времени. При фильтрации по определенному диапазону он увеличивает масштаб, чтобы отобразить распределение событий в высоком разрешении.
На следующем снимку экрана показаны результаты запроса, возвращающего 1000 событий электронной почты. Временная шкала не фильтруется, поэтому отображается полный диапазон результатов с меткой времени для каждого дня. Выберите день или диапазон дней, чтобы отфильтровать результаты за этот период времени.
Разделение временная шкала по значениям
Результаты в временная шкала можно разделить на любой столбец, имеющий по крайней мере два, но менее 50 уникальных значений.
На следующем снимку экрана показаны результаты запроса, возвращающего 1000 событий электронной почты. Временная шкала разгруппирована, поэтому все результаты отображаются в одной строке.
Изменение типа диаграммы
Вы можете изменить тип диаграммы временная шкала, выбрав другой параметр в раскрывающемся меню тип диаграммы. Доступные типы диаграмм:
- График
- Гистограмма
- Круговая диаграмма
Условия отрисовки
Временная шкала отображается только в том случае, если результаты соответствуют следующим условиям:
- Результаты включают более 40 событий.
- Результаты включают
Timestampстолбец илиtimeGenerated.
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
- Обзор настраиваемых обнаружений
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.