Få expertutbildning om avancerad jakt
Gäller för:
- Microsoft Defender XDR
Öka dina kunskaper om avancerad jakt snabbt med Tracking the adversary, en webbsändningsserie för nya säkerhetsanalytiker och erfarna hotjägare. Serien vägleder dig genom grunderna hela vägen till att skapa egna avancerade frågor. Börja med den första videon om grunderna eller hoppa till mer avancerade videor som passar din upplevelsenivå.
| Rubrik | Beskrivning | Titta | Frågor |
|---|---|---|---|
| Avsnitt 1: Grunderna i KQL | Detta avsnitt beskriver grunderna i avancerad jakt i Microsoft Defender XDR. Lär dig mer om tillgängliga avancerade jaktdata och grundläggande KQL-syntax och operatorer. | YouTube (54:14) | Textfil |
| Avsnitt 2: Ansluter | Fortsätt lära dig mer om data i avancerad jakt och hur du kopplar ihop tabeller. Lär dig mer om inner, outer, uniqueoch semi kopplingar och förstå nyanserna i kusto-standardanslutningen innerunique . |
YouTube (53:33) | Textfil |
| Avsnitt 3: Sammanfatta, pivotera och visualisera data | Nu när du har lärt dig att filtrera, manipulera och koppla data är det dags att sammanfatta, kvantifiera, pivotera och visualisera. I det här avsnittet beskrivs operatorn summarize och olika beräkningar, samtidigt som ytterligare tabeller introduceras i schemat. Du lär dig också att omvandla datauppsättningar till diagram som kan hjälpa dig att extrahera insikter. |
YouTube (48:52) | Textfil |
| Avsnitt 4: Låt oss jaga! Tillämpa KQL på incidentspårning | I det här avsnittet lär du dig att spåra viss attackerande aktivitet. Vi använder vår förbättrade förståelse av Kusto och avancerad jakt för att spåra en attack. Lär dig faktiska trick som används inom området, inklusive säkerhetskontrollanter för cybersäkerhet och hur du tillämpar dem på incidenthantering. | YouTube (59:36) | Textfil |
Få mer expertutbildning med L33TSP3AK: Avancerad jakt i Microsoft Defender XDR, en webbsändningsserie för analytiker som vill utöka sina tekniska kunskaper och praktiska färdigheter i att genomföra säkerhetsundersökningar med avancerad jakt i Microsoft Defender XDR.
| Rubrik | Beskrivning | Titta | Frågor |
|---|---|---|---|
| Avsnitt 1 | I det här avsnittet får du lära dig olika metodtips för att köra avancerade jaktfrågor. Bland de ämnen som beskrivs finns: hur du optimerar dina frågor, använder avancerad jakt på utpressningstrojaner, hanterar JSON som en dynamisk typ och arbetar med externa dataoperatorer. | YouTube (56:34) | Textfil |
| Avsnitt 2 | I det här avsnittet får du lära dig hur du undersöker och svarar på misstänkta eller ovanliga inloggningsplatser och dataexfiltrering via regler för vidarebefordran av inkorgar. Sebastien Molendijk, Senior Program Manager för Cloud Security CxE, delar med sig av hur du använder avancerad jakt för att undersöka incidenter i flera steg med Microsoft Defender for Cloud Apps data. | YouTube (57:07) | Textfil |
| Avsnitt 3 | I det här avsnittet går vi igenom de senaste förbättringarna av avancerad jakt, hur du importerar en extern datakälla till din fråga och hur du använder partitionering för att segmentera stora frågeresultat i mindre resultatuppsättningar för att undvika att nå API-gränserna. | YouTube (40:59) | Textfil |
Så här använder du CSL-filen
Innan du startar ett avsnitt öppnar du motsvarande textfil på GitHub och kopierar innehållet till frågeredigeraren för avancerad jakt. När du watch ett avsnitt kan du använda det kopierade innehållet för att följa talaren och köra frågor.
Följande utdrag från en textfil som innehåller frågorna visar en omfattande uppsättning riktlinjer som markerats som kommentarer med //.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
Samma textfil innehåller frågor före och efter kommentarerna enligt nedan. Om du vill köra en specifik fråga med flera frågor i redigeraren flyttar du markören till den frågan och väljer Kör fråga.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
Andra resurser
| Rubrik | Beskrivning | Titta |
|---|---|---|
| Koppla tabeller i KQL | Lär dig hur du sammanfogar tabeller för att skapa meningsfulla resultat. | YouTube (4:17) |
| Optimera tabeller i KQL | Lär dig hur du undviker tidsgränser när du kör komplexa frågor genom att optimera dina frågor. | YouTube (5:38) |
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig det avancerade frågespråket för jakt
- Arbeta med frågeresultat
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.