Condividi tramite

Esempio di ricerca avanzata per Microsoft Defender per Office 365

  • Articolo

Si applica a:

  • Microsoft Defender XDR

Iniziare a cercare le minacce tramite posta elettronica con la ricerca avanzata? Provare questi passaggi:

La guida alla distribuzione Microsoft Defender per Office 365 illustra come iniziare subito a configurare il giorno 1.

A seconda dei criteri di sicurezza predefiniti rispetto alle scelte dei criteri personalizzati, le impostazioni di eliminazione automatica a zero ore (ZAP) sono importanti per sapere se un messaggio dannoso è stato rimosso da una cassetta postale dopo il recapito.

Il passaggio rapido al linguaggio di query Kusto per rilevare problemi è un vantaggio derivante dalla convergenza di questi due centri sicurezza. I team di sicurezza possono monitorare i mancati ZAP eseguendo i passaggi successivi nel portale di Microsoft Defender in https://security.microsoft.com>Ricerca>avanzata.

  1. Nella pagina Ricerca avanzata in https://security.microsoft.com/v2/advanced-huntingverificare che sia selezionata la scheda Nuova query .

  2. Copiare la query seguente nella casella Query :

    EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfully
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

  3. Selezionare Esegui query.

    La pagina Ricerca avanzata (in Ricerca) con query selezionata nella parte superiore del pannello di query ed esecuzione di una query Kusto per acquisire azioni ZAP negli ultimi sette giorni.

    I dati di questa query vengono visualizzati nel pannello Risultati sotto la query stessa. I risultati includono informazioni come DeviceName, AccountDisplayNamee ZapTime in un set di risultati personalizzabile. È anche possibile esportare i risultati per i record. Per salvare la query per il riutilizzo, selezionare Salva>con nome per aggiungere la query all'elenco di query, query condivise o della community.

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.