Condividi tramite


Usare i risultati delle query di ricerca avanzate

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Anche se è possibile creare query di ricerca avanzate per restituire informazioni precise, è anche possibile usare i risultati della query per ottenere ulteriori informazioni e analizzare attività e indicatori specifici. È possibile eseguire le azioni seguenti sui risultati della query:

  • Visualizzare i risultati come tabella o grafico
  • Esportare tabelle e grafici
  • Eseguire il drill-down di informazioni dettagliate sulle entità
  • Modificare le query direttamente dai risultati

Visualizzare i risultati delle query come tabella o grafico

Per impostazione predefinita, la ricerca avanzata visualizza i risultati delle query come dati tabulari. È anche possibile visualizzare gli stessi dati di un grafico. La ricerca avanzata supporta le visualizzazioni seguenti:

Tipo visualizzazione Descrizione
Tabella Visualizza i risultati della query in formato tabulare
Istogramma Esegue il rendering di una serie di elementi univoci sull'asse x come barre verticali le cui altezze rappresentano valori numerici da un altro campo
Grafico a torta Esegue il rendering delle torta di sezione che rappresentano elementi univoci. La dimensione di ogni torta rappresenta i valori numerici di un altro campo.
Grafico a linee Traccia i valori numerici per una serie di elementi univoci e connette i valori tracciati
Grafico a dispersione Traccia i valori numerici per una serie di elementi univoci
Grafico ad area Traccia i valori numerici per una serie di elementi univoci e riempie le sezioni sotto i valori tracciati
Grafico ad area in pila Traccia i valori numerici per una serie di elementi univoci e impila le sezioni riempite sotto i valori tracciati
Grafico temporale Traccia i valori in base al conteggio in base a una scala temporale lineare

Creare query per grafici efficaci

Durante il rendering dei grafici, la ricerca avanzata identifica automaticamente le colonne di interesse e i valori numerici da aggregare. Per ottenere grafici significativi, creare le query per restituire i valori specifici che si desidera visualizzare. Ecco alcune query di esempio e i grafici risultanti.

Avvisi per gravità

Usare l'operatore summarize per ottenere un conteggio numerico dei valori da tracciare. La query seguente usa l'operatore summarize per ottenere il numero di avvisi in base alla gravità.

AlertInfo
| summarize Total = count() by Severity

Durante il rendering dei risultati, un istogramma visualizza ogni valore di gravità come colonna separata:

AlertInfo
| summarize Total = count() by Severity
| render columnchart

Esempio di grafico che visualizza risultati di ricerca avanzati nel portale di Microsoft Defender

Messaggi di posta elettronica di phishing tra i primi dieci domini del mittente

Se si ha a che fare con un elenco di valori non finiti, è possibile usare l'operatore Top per tracciare solo i valori con la maggior parte delle istanze. Ad esempio, per ottenere i primi 10 domini mittente con la maggior parte dei messaggi di posta elettronica di phishing, usare la query seguente:

EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count

Usare la visualizzazione grafico a torta per visualizzare in modo efficace la distribuzione tra i domini principali:

Grafico a torta che visualizza i risultati della ricerca avanzata nel portale di Microsoft Defender

Attività di file nel tempo

Usando l'operatore summarize con la bin() funzione , è possibile verificare la presenza di eventi che coinvolgono un determinato indicatore nel tempo. La query seguente conta gli eventi che coinvolgono il file invoice.doc a intervalli di 30 minuti per mostrare i picchi di attività correlati a tale file:

CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)

Il grafico a linee seguente evidenzia chiaramente i periodi di tempo con più attività che coinvolgono invoice.doc:

Grafico a linee che visualizza i risultati della ricerca avanzata nel portale di Microsoft Defender

Esportare tabelle e grafici

Dopo aver eseguito una query, selezionare Esporta per salvare i risultati nel file locale. La visualizzazione scelta determina come vengono esportati i risultati:

  • Visualizzazione tabella: i risultati della query vengono esportati in formato tabulare come cartella di lavoro di Microsoft Excel
  • Qualsiasi grafico: i risultati della query vengono esportati come immagine JPEG del grafico sottoposto a rendering

Filtrare i risultati

Dopo aver eseguito una query, selezionare Filtra per restringere i risultati.

Screenshot dei filtri nella ricerca avanzata.

Per aggiungere un filtro, selezionare i dati per cui si vuole filtrare selezionando una o più caselle di controllo. Selezionare Aggiungi.

Screenshot dell'elenco a discesa dei filtri nella ricerca avanzata.

È possibile restringere ulteriormente i risultati a dati specifici selezionando il filtro appena aggiunto.

Screenshot della nuova pillola filtro nella ricerca avanzata.

Verrà aperto un elenco a discesa che mostra i possibili filtri che è possibile usare ulteriormente. Selezionare una o più caselle di controllo, quindi selezionare Applica.

Screenshot dell'elenco a discesa del nuovo filtro nella ricerca avanzata.

Verificare di aver aggiunto i filtri desiderati controllando la sezione Filtri.

Screenshot dei filtri aggiunti alla ricerca avanzata.

Drill-down dai risultati della query

È anche possibile esplorare i risultati in linea con le funzionalità seguenti:

  • Espandere un risultato selezionando la freccia a discesa a sinistra di ogni risultato
  • Se applicabile, espandere i dettagli per i risultati in formato JSON e matrice selezionando la freccia a discesa a sinistra dei nomi di colonna applicabili per una maggiore leggibilità
  • Aprire il riquadro laterale per visualizzare i dettagli di un record (simultaneamente alle righe espanse)

Screenshot dell'espansione dei risultati per il drill-down

È anche possibile fare clic con il pulsante destro del mouse su qualsiasi valore di risultato in una riga in modo che sia possibile usarlo per aggiungere altri filtri alla query esistente o copiare il valore da usare in ulteriori indagini.

Screenshot delle opzioni quando si fa clic con il pulsante destro del mouse su un'opzione

Inoltre, per i campi JSON e matrice, è possibile fare clic con il pulsante destro del mouse e aggiornare la query esistente per includere o escludere il campo oppure per estendere il campo a una nuova colonna.

Screenshot delle opzioni quando si fa clic con il pulsante destro del mouse su un'opzione per i campi JSON e matrice

Per esaminare rapidamente un record nei risultati della query, selezionare la riga corrispondente per aprire il pannello Controlla record . Il pannello fornisce le informazioni seguenti in base al record selezionato:

  • Asset: visualizzazione riepilogativa degli asset principali (cassette postali, dispositivi e utenti) trovati nel record, arricchiti con informazioni disponibili, ad esempio i livelli di rischio e di esposizione
  • Tutti i dettagli: tutti i valori delle colonne nel record

Record selezionato con pannello per l'ispezione del record nel portale di Microsoft Defender

Per visualizzare altre informazioni su un'entità specifica nei risultati della query, ad esempio un computer, un file, un utente, un indirizzo IP o un URL, selezionare l'identificatore di entità per aprire una pagina del profilo dettagliata per tale entità.

Perfezionare le query dai risultati

Selezionare i tre punti a destra di qualsiasi colonna nel pannello Ispeziona record . È possibile usare le opzioni per:

  • Cercare in modo esplicito il valore selezionato (==)
  • Escludere il valore selezionato dalla query (!=)
  • Ottenere operatori più avanzati per aggiungere il valore alla query, ad containsesempio , starts withe ends with

Screenshot del riquadro Tipo di azione nella pagina Controlla record nel portale di Microsoft Defender.

Aggiungere elementi ai Preferiti

È possibile aggiungere schemi, funzioni, query e regole di rilevamento usati di frequente alla sezione Preferiti di ogni scheda nella pagina di ricerca avanzata per un accesso rapido.

Screenshot della pagina di ricerca avanzata con la sezione Preferiti evidenziata.

Ad esempio, per aggiungere AlertInfo ai Preferiti, passare alla scheda Schema e selezionare i tre puntini a destra della tabella e selezionare Aggiungi ai Preferiti.

Screenshot dell'opzione Aggiungi ai Preferiti nella pagina di ricerca avanzata.

Viene visualizzata una notifica che informa che l'elemento è stato aggiunto correttamente ai Preferiti.

Screenshot della notifica che indica che un nuovo elemento è stato aggiunto ai Preferiti nella ricerca avanzata.

È possibile eseguire la stessa operazione per le funzioni, le query e i rilevamenti personalizzati salvati nelle rispettive sezioni Preferiti in ogni scheda (funzioni, query e regole di rilevamento).

Nota

Alcune tabelle di questo articolo potrebbero non essere disponibili in Microsoft Defender per endpoint. Attivare Microsoft Defender XDR per cercare le minacce usando più origini dati. È possibile spostare i flussi di lavoro di ricerca avanzati da Microsoft Defender per endpoint a Microsoft Defender XDR seguendo la procedura descritta in Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint.

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.