Usare i risultati delle query di ricerca avanzate
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Anche se è possibile creare query di ricerca avanzate per restituire informazioni precise, è anche possibile usare i risultati della query per ottenere ulteriori informazioni e analizzare attività e indicatori specifici. È possibile eseguire le azioni seguenti sui risultati della query:
- Visualizzare i risultati come tabella o grafico
- Esportare tabelle e grafici
- Eseguire il drill-down di informazioni dettagliate sulle entità
- Modificare le query direttamente dai risultati
Visualizzare i risultati delle query come tabella o grafico
Per impostazione predefinita, la ricerca avanzata visualizza i risultati delle query come dati tabulari. È anche possibile visualizzare gli stessi dati di un grafico. La ricerca avanzata supporta le visualizzazioni seguenti:
Tipo visualizzazione | Descrizione |
---|---|
Tabella | Visualizza i risultati della query in formato tabulare |
Istogramma | Esegue il rendering di una serie di elementi univoci sull'asse x come barre verticali le cui altezze rappresentano valori numerici da un altro campo |
Grafico a torta | Esegue il rendering delle torta di sezione che rappresentano elementi univoci. La dimensione di ogni torta rappresenta i valori numerici di un altro campo. |
Grafico a linee | Traccia i valori numerici per una serie di elementi univoci e connette i valori tracciati |
Grafico a dispersione | Traccia i valori numerici per una serie di elementi univoci |
Grafico ad area | Traccia i valori numerici per una serie di elementi univoci e riempie le sezioni sotto i valori tracciati |
Grafico ad area in pila | Traccia i valori numerici per una serie di elementi univoci e impila le sezioni riempite sotto i valori tracciati |
Grafico temporale | Traccia i valori in base al conteggio in base a una scala temporale lineare |
Creare query per grafici efficaci
Durante il rendering dei grafici, la ricerca avanzata identifica automaticamente le colonne di interesse e i valori numerici da aggregare. Per ottenere grafici significativi, creare le query per restituire i valori specifici che si desidera visualizzare. Ecco alcune query di esempio e i grafici risultanti.
Avvisi per gravità
Usare l'operatore summarize
per ottenere un conteggio numerico dei valori da tracciare. La query seguente usa l'operatore summarize
per ottenere il numero di avvisi in base alla gravità.
AlertInfo
| summarize Total = count() by Severity
Durante il rendering dei risultati, un istogramma visualizza ogni valore di gravità come colonna separata:
AlertInfo
| summarize Total = count() by Severity
| render columnchart
Messaggi di posta elettronica di phishing tra i primi dieci domini del mittente
Se si ha a che fare con un elenco di valori non finiti, è possibile usare l'operatore Top
per tracciare solo i valori con la maggior parte delle istanze. Ad esempio, per ottenere i primi 10 domini mittente con la maggior parte dei messaggi di posta elettronica di phishing, usare la query seguente:
EmailEvents
| where ThreatTypes has "Phish"
| summarize Count = count() by SenderFromDomain
| top 10 by Count
Usare la visualizzazione grafico a torta per visualizzare in modo efficace la distribuzione tra i domini principali:
Attività di file nel tempo
Usando l'operatore summarize
con la bin()
funzione , è possibile verificare la presenza di eventi che coinvolgono un determinato indicatore nel tempo. La query seguente conta gli eventi che coinvolgono il file invoice.doc
a intervalli di 30 minuti per mostrare i picchi di attività correlati a tale file:
CloudAppEvents
| union DeviceFileEvents
| where FileName == "invoice.doc"
| summarize FileCount = count() by bin(Timestamp, 30m)
Il grafico a linee seguente evidenzia chiaramente i periodi di tempo con più attività che coinvolgono invoice.doc
:
Esportare tabelle e grafici
Dopo aver eseguito una query, selezionare Esporta per salvare i risultati nel file locale. La visualizzazione scelta determina come vengono esportati i risultati:
- Visualizzazione tabella: i risultati della query vengono esportati in formato tabulare come cartella di lavoro di Microsoft Excel
- Qualsiasi grafico: i risultati della query vengono esportati come immagine JPEG del grafico sottoposto a rendering
Filtrare i risultati
Dopo aver eseguito una query, selezionare Filtra per restringere i risultati.
Per aggiungere un filtro, selezionare i dati per cui si vuole filtrare selezionando una o più caselle di controllo. Selezionare Aggiungi.
È possibile restringere ulteriormente i risultati a dati specifici selezionando il filtro appena aggiunto.
Verrà aperto un elenco a discesa che mostra i possibili filtri che è possibile usare ulteriormente. Selezionare una o più caselle di controllo, quindi selezionare Applica.
Verificare di aver aggiunto i filtri desiderati controllando la sezione Filtri.
Drill-down dai risultati della query
È anche possibile esplorare i risultati in linea con le funzionalità seguenti:
- Espandere un risultato selezionando la freccia a discesa a sinistra di ogni risultato
- Se applicabile, espandere i dettagli per i risultati in formato JSON e matrice selezionando la freccia a discesa a sinistra dei nomi di colonna applicabili per una maggiore leggibilità
- Aprire il riquadro laterale per visualizzare i dettagli di un record (simultaneamente alle righe espanse)
È anche possibile fare clic con il pulsante destro del mouse su qualsiasi valore di risultato in una riga in modo che sia possibile usarlo per aggiungere altri filtri alla query esistente o copiare il valore da usare in ulteriori indagini.
Inoltre, per i campi JSON e matrice, è possibile fare clic con il pulsante destro del mouse e aggiornare la query esistente per includere o escludere il campo oppure per estendere il campo a una nuova colonna.
Per esaminare rapidamente un record nei risultati della query, selezionare la riga corrispondente per aprire il pannello Controlla record . Il pannello fornisce le informazioni seguenti in base al record selezionato:
- Asset: visualizzazione riepilogativa degli asset principali (cassette postali, dispositivi e utenti) trovati nel record, arricchiti con informazioni disponibili, ad esempio i livelli di rischio e di esposizione
- Tutti i dettagli: tutti i valori delle colonne nel record
Per visualizzare altre informazioni su un'entità specifica nei risultati della query, ad esempio un computer, un file, un utente, un indirizzo IP o un URL, selezionare l'identificatore di entità per aprire una pagina del profilo dettagliata per tale entità.
Perfezionare le query dai risultati
Selezionare i tre punti a destra di qualsiasi colonna nel pannello Ispeziona record . È possibile usare le opzioni per:
- Cercare in modo esplicito il valore selezionato (
==
) - Escludere il valore selezionato dalla query (
!=
) - Ottenere operatori più avanzati per aggiungere il valore alla query, ad
contains
esempio ,starts with
eends with
Aggiungere elementi ai Preferiti
È possibile aggiungere schemi, funzioni, query e regole di rilevamento usati di frequente alla sezione Preferiti di ogni scheda nella pagina di ricerca avanzata per un accesso rapido.
Ad esempio, per aggiungere AlertInfo
ai Preferiti, passare alla scheda Schema e selezionare i tre puntini a destra della tabella e selezionare Aggiungi ai Preferiti.
Viene visualizzata una notifica che informa che l'elemento è stato aggiunto correttamente ai Preferiti.
È possibile eseguire la stessa operazione per le funzioni, le query e i rilevamenti personalizzati salvati nelle rispettive sezioni Preferiti in ogni scheda (funzioni, query e regole di rilevamento).
Nota
Alcune tabelle di questo articolo potrebbero non essere disponibili in Microsoft Defender per endpoint. Attivare Microsoft Defender XDR per cercare le minacce usando più origini dati. È possibile spostare i flussi di lavoro di ricerca avanzati da Microsoft Defender per endpoint a Microsoft Defender XDR seguendo la procedura descritta in Eseguire la migrazione di query di ricerca avanzate da Microsoft Defender per endpoint.
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
- Panoramica dei rilevamenti personalizzati
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.