Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Utilizar diferentes tipos de dados
A investigação avançada no modo guiado suporta vários tipos de dados que pode utilizar para ajustar a sua consulta.
Números
Cadeias de caracteres
Na caixa de texto livre, escreva o valor e prima Enter para o adicionar. Tenha em atenção que o delimitador entre valores é Enter.
Booliano
Datetime
Lista fechada – não precisa de se lembrar do valor exato que procura. Pode escolher facilmente a partir de uma lista fechada sugerida que suporte seleção múltipla.
Utilizar subgrupos
Pode criar grupos de condições ao clicar em Adicionar subgrupo:
Utilizar a conclusão automática inteligente para pesquisa
A conclusão automática inteligente para a pesquisa de dispositivos e contas de utilizador é suportada. Não precisa de se lembrar do ID do dispositivo, do nome completo do dispositivo ou do nome da conta de utilizador. Pode começar a escrever os primeiros carateres do dispositivo ou utilizador que procura e é apresentada uma lista sugerida a partir da qual pode escolher o que precisa:
UseEventType
Pode até procurar tipos de eventos específicos, como todos os inícios de sessão falhados, eventos de modificação de ficheiros ou ligações de rede com êxito através do filtro EventType em qualquer secção onde seja aplicável.
Por exemplo, se quiser adicionar uma condição que procura eliminações de valor de registo, pode aceder à secção Eventos de Registo e selecionar EventType.
Selecionar EventType em Eventos de Registo permite-lhe escolher entre diferentes eventos de registo, incluindo o que procura, RegistryValueDeleted.
Observação
EventType é o equivalente a no esquema de ActionType dados, com o qual os utilizadores do modo avançado podem estar mais familiarizados.
Testar a consulta com um tamanho de amostra mais pequeno
Se ainda estiver a trabalhar na consulta e quiser ver rapidamente o desempenho e alguns resultados de exemplo, ajuste o número de registos a devolver ao selecionar um conjunto mais pequeno através do menu pendente Tamanho da amostra.
O tamanho da amostra está definido como 10 000 resultados por predefinição. Este é o número máximo de registos que podem ser devolvidos na investigação. No entanto, recomendamos vivamente que reduza o tamanho da amostra para 10 ou 100 para testar rapidamente a consulta, uma vez que consome menos recursos enquanto ainda está a trabalhar para melhorar a consulta.
Em seguida, assim que finalizar a consulta e estiver pronto para utilizá-la para obter todos os resultados relevantes para a sua atividade de investigação, certifique-se de que o tamanho da amostra está definido como 10 mil, o máximo.
Mudar para o modo avançado depois de criar uma consulta
Pode clicar em Editar no KQL para ver a consulta KQL gerada pelas condições selecionadas. A edição no KQL abre um novo separador no modo avançado, com a consulta KQL correspondente:
No exemplo acima, a vista selecionada é Tudo, pelo que pode ver que a consulta KQL procura em todas as tabelas que têm propriedades de ficheiro de nome e SHA256 e em todas as colunas relevantes que abrangem estas propriedades.
Se alterar a vista para E-mails & colaboração, a consulta será reduzida para:
Confira também
- Quotas de investigação avançadas e parâmetros de utilização
- Expandir a cobertura de investigação avançada com as definições certas
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.