из чего делают, непромокаемые, ветроводоустойчивые и другие свойства, состав, длинные, большие и прочие виды, как потушить, фото и видео
Спички охотничьи. Фото OZON
Несмотря на появление целого ряда современных средств для разжигания огня и присутствия на рынке походного снаряжения их широкого разнообразия, спички по-прежнему остаются востребованным инструментом. Для добычи огня в туристических походах, на пикниках и прочих «выходах» на природу, где могут возникнуть экстремальные и чрезвычайные ситуации, активно используются охотничьи спички, а также огнива разных видов. Кроме этого, путешественникам потребуются свисток, фонарь и термоодеяло.
Содержание
- Что из себя представляют водоветроустойчивые спички, фото
- Из чего делают спички, которые горят под водой, почему горят, состав
- Свойства: непромокаемые, горящие под водой, ветроводоустойчивые и не только
- Как потушить, если горит под водой
- Длинные, как называются большие и прочие виды
- Условия хранения
- Критерии выбора
- Возможно ли сделать своими руками
- Видео
- Где купить водонепроницаемые изделия
Что из себя представляют водоветроустойчивые спички, фото
Охотничьи спички визуально практически ничем не отличаются об обычных бытовых. Конструктивное различие заключается в том, что кроме обычной головки, на спичке присутствует дополнительная обмазка, которая может покрывать до 80% длины спички. Она обеспечивает продолжительное горение (до 10-20 секунд), получение большого и жаркого пламени.
Спички охотничьи крупным планом. Фото OZON
Покрытие спичек дополнительным слоем парафина гарантирует влагостойкость и предупреждает отсыревание, предоставляет возможность получать огонь даже в ветреную погоду. Поэтому спички активно используются, а нередко незаменимы на охоте и рыбалке, в туристических походах, на отдыхе в загородных лагерях и в других ситуациях, в которых может произойти неприятная или чрезвычайная ситуация. Максимальная эффективность лучших вариантов огнив делает их востребованными в путешествий максимальной сложности.
Из чего делают спички, которые горят под водой, почему горят, состав
Для производства средств для розжига костра, в частности, востребованного Таежного, и обогрева, к которым относятся самодельные походные печи, используются только качественные и безопасные компоненты и материалы. Производство осуществляется в соответствии с требованиями ГОСТов, установленных требований и норм пожарной безопасности. Для изготовления спичек в России используется осина, липа или тополь, но наиболее распространенным вариантом является применение осины. Некоторые производители используют также прессованную бумагу, пропитанная горючим составом. Заготовки получают следующим образом. Со спиленных деревьев удаляют сучки, лущат с них шпон, который попадает в распиловочный цех. Шпон укладывается слоями и рубится на спичечные заготовки (стержни). Осуществляется пропитка парафином
Спички охотничьи СЛЕДОПЫТ-Экстрим, длительного горения, 10 шт. Фото OZON
Производство данных изделий отличается трудоемкостью. Операции, связанные с нанесением на основу обмазки, сушкой и упаковкой, часто осуществляются вручную. Именно пропитка, лаковое покрытие и обмазка деревянной части обеспечивают ветро- и влагоустойчивость изделий. Некоторые производители утверждают, что спички обладают способностью гореть под водой. Но в большинстве случаев данной характеристикой изделия не обладают, да и зачем потребителям костер под водой, !подробнее о костре Финская свеча здесь.
Состав головки, обмазки и «терки» (обмазки, присутствующей на спичечном коробке) может отличаться в зависимости от производителя (торговой марки). Но возможно привести следующие показатели для головки спички:
- бертолетова соль — 46,5%;
- стекло молотое — 17,2%;
- сурик свинцовый — 15,3%;
- клей костяной — 11,5%;
- сера — 4,2%;
- белила цинковые — 3,8%;
- хромпик — 1,5%.
Состав «терки» включает следующие компоненты:
- трехсернистая сурьма — 41,8%;
- красный фосфор — 30,8%;
- железный сурик или мумия — 12,8%;
- клей костяной — 6,7%;
- стекло молотое — 3,8%;
- мел — 2,6%;
- белила цинковые — 1,5%.
Свойства: непромокаемые, горящие под водой, ветроводоустойчивые и не только
Непромокаемыми охотничьи спички делает обработка парафином. Аналогичного эффекта, но уже в домашних условиях возможно добиться с помощью того же парафина или воска, нанесенного в несколько слоев. Обладает продукция, как и огниво, для розжига и стойкостью к влаге и ветру, что обеспечивает возможность их применения при любой погоде. В открытом доступе возможно встретить видео, в котором демонстрируется погружение горящей спички в воду, в результате она перестает гореть, но после извлечения горение продолжается. Но встречаются экземпляры, которые демонстрируют заявленные производителями свойства, т.е горят под водой. Стойкость к влаге делает охотничьи спички похожими на такое устройство как вечная спичка.
Спички охотничьи ФЭСКО. Фото OZON
К характеристикам возможно отнести также практичность и функциональность, экономичность применения на природе, длительность горения, стойкость к перепадам температур и влажности без потери собственных свойств. Несмотря на стойкость спичек к погодным воздействиям, рекомендуется все же позаботиться о защите изделий. Для этого используются практичные и удобные герметичные контейнеры, которые послужат защитой от механического воздействия.
Как потушить, если горит под водой
Охотничьи спички потушить не так просто. Поэтому в целях безопасности не рекомендуется использовать спички в закрытых помещениях. Кроме этого, при горении они в значительном количестве (объеме) выделяют едкий дым. Стандартные методы, попытки задуть пламя, погружение в воду или песок не приносят результата. Эффективным методом является возможность ограничить доступа кислорода к спичке, поместив ее в емкость с крышкой. В открытом доступе возможно найти способ с применением хлебного макиша, который необходимо скатать в плотный шар, в него и помещается горящая головка спички.
Длинные, как называются большие и прочие виды
Длина стандартных по длине охотничьи спичек составляет порядка 40-50 мм. Но присутствуют в продаже и большие изделия, длина которых достигает 85 мм. Большие спички не имеют отдельного наименования, отличием является размер обмазки, которая покрывает только половину стержня. В то время как изделия стандартных размеров практически полностью покрываются зажигательной смесью. Охотничьи спички фасуются в картонные короба и пластиковые блистеры. Второй вид упаковки является более предпочтительным, так увеличивает защиту изделий от вредных воздействий. Количество спичек в картонной коробке чаще всего составляет 20 штук, блистере — 6. Различаются охотничьи спички в соответствии с торговой маркой, цветом головки и обмазки.
HeimHelfer Спички охотничьи в блистере. Фото OZON
Условия хранения
Охотничьи спички являются обязательным элементом выживания, могут понадобиться в любой момент, поэтому хранить их нужно в аварийном комплекте, расположенном на теле. Основными требованиями к аварийному комплекту является миниатюрность и незаметность, поэтому отличным решением выступает герметичный контейнер, который возможно разместить на шее или пристегнуть к брюкам или положить в карман. Спички, упакованные в блистер, не нуждаются в дополнительной защите. Но после открытия блистера и для картонных коробов возможно использовать альтернативные методы и средства. Их возможно поместить в пакет с надежной и удобной застежкой zip-lock.
Пропитка парафином позволит сохранить спички в рабочем состоянии, даже при попадании на них влаги. Необходимо выполнять пропитку и головки, и стержня. Для этого нужно растопить парафин в металлической посуде на водяной бане, чтобы исключить испарение парафина. Погружать спички в парафин рекомендуется с помощью пинцета, что обеспечивает ровное покрытие. Сушка покрытых спичек выполняется на газете. Перед зажиганием парафин с головки нужно удалить, счистить. Эффективную защиту от влаги показывает покрытие лаком: для ногтей или мебельным. Скотч используется в походах в качестве универсального ремонтного средства. Из скотча возможно сделать своеобразный конверт и поместить туда несколько спичек. Для предотвращения отклеивания краев, рекомендуется расплавить скотч для получения надежного шва.
Критерии выбора
При выборе охотничьих спичек рекомендуется учитывать несколько стандартных критериев: стоимость, торговая марка (производитель), длина изделий, количество штук в упаковке. Рекомендуется покупать спички в герметичной упаковке, которая обеспечивает защиту от внешних воздействий. Предварительно необходимо проверить качество охотничьих спичек: горят ли они под водой и после намокания? зажигаются ли при сильном ветре? Важно помнить, что в продаже присутствуют большое количество некачественных изделий, поэтому рекомендуется приобретать спички у проверенных поставщиков или напрямую у производителей.
Спички охотничьи Выживайка 43 мм. (не гаснут в воде). Фото OZON
Возможно ли сделать своими руками
Несмотря на широкое разнообразие охотничьих спичек и их доступную стоимость нередко у потенциальных покупателей возникает вопрос — возможно ли и как сделать изделия своими руками? Сделать охотничьи спички самостоятельно несложно, что актуально и для огнива, для этого потребуются обычные бытовые изделия, возможно использовать тонкие палочки для шашлыка, аммиачная селитра, нитролак, серебрянка в форме пудры, кусок пластилина. Необходимо смешать серебрянку с аммиачной селитрой в пропорциях 1:1. Компоненты тщательно перемешать до образования однородного состава. Следующим этапом является добавление нитролака, состав еще раз хорошо перемешивается. Нужно добиться получения тестообразной смеси, которую следует раскатать тонким слоем и нарезать на узкие полоски шириной примерно в 2 мм. Полоски необходимо намотать на обычные спички или палочки для шашлыка, начиная с головки и до середины изделия. Заготовки деревянной частью втыкаются в пластилин для сушки, после окончания которой выполняется обработка нитролаком, серную головку покрывать не нужно. Головку рекомендуется обработать парафином, который перед применением самодельных спичек удаляется. Терку для зажигания возможно сделать из нескольких терок с обычных спичечных коробков, которые наклеиваются на небольшую доску.
Существует и другой способ, для реализации которого потребуется парафин, хлопчатобумажные нитки и обычные бытовые спички. Нитки нужно плотно наматать на хозяйственные спички, рекомендуется в несколько слоев. Серную головку покрывать не следует. Парафин нужно растопить и погрузить в него заготовки с помощью пинцета.
Видео
Где купить водонепроницаемые изделия
Продажей охотничьих спичек занимаются многие компании. Некоторые поставщики, предлагающие качественную и соответствующую требованиям продукцию, собраны в отдельном разделе нашего сайта.
Читайте также:
Как сделать охотничьи спички?
#1
Приобрести такой источник огня в уже готовом виде довольно-таки сложно и нередко заядлому охотнику приходится оббегать не один специализированный магазин в его поисках, которые запросто могут окончиться неудачей. И даже, если неожиданно повезет, совсем не факт, что охотничьи спички не обойдутся в кругленькую сумму, поэтому в идеале все-таки попробовать изготовить их самостоятельно, ведь в этой задаче нет ничего сложного. Так, правильно изготовленные своими руками спички охотничьи не должны тухнуть под воздействием даже очень сильного ветра или под проливным дождем, иначе они ничем не будут отличаться от спичек обыкновенных, которые не могут похвастаться столь уникальными свойствами и способностями. Для того, чтобы изготовить такой устойчивый, а самое главное, надежный источник огня, который не только не подведет в плохую погоду, но и не отсыреет от длительного бездействия, понадобятся самые простые материалы.
#2
Обычно всех их можно отыскать прямо на хозяйстве, да и в случае, если их придется приобретать отдельно, нет ровным счетом ничего страшного, ведь стоят такие комплектующие сущие копейки. И в первую очередь понадобится одноразовый шприц, емкость которого составляет пять миллилитров, ведь именно его носик, освобожденный от полой иглы, идеально подходит для коктейльной трубочки, которая впоследствии послужит своего рода оболочкой для каждой охотничьей спички. Зафиксированную трубочку разграничивают маркером на сектора, высота которых равна высоте обычной спички, после чего приступают к изготовлению ее наполнителя. Для этого понадобятся всего две простые составляющие, а если точнее — сахарный песок и селитра калиевая, которую можно приобрести в любом магазине, специализирующемся на продаже различного рода удобрений для комнатных, садовых и огородных растений.
#3
Что касается пропорций, то специалисты рекомендуют использовать обе составляющие в равных долях, причем селитра должна иметь порошкообразный вид. Смешивание осуществляют непосредственно в столовой ложке, после чего нагревают ее над открытым пламенем (свеча, газовая конфорка и пр.) до тех пор пока селитра с сахаром не приобретут консистенцию кашицы или густой сметаны. Правильно подготовленный раствор должен приобрести однородный темно-коричневый оттенок, однако заливать его вовнутрь коктейльной трубочки в горячем состоянии категорически не рекомендуется, иначе она попросту расплавится. Так, осуществлять заправку шприца рекомендуют только после того, как температура смеси опустится до отметки, комфортной для тактильного контакта (палец не должно обжигать). Когда поставленная цель будет достигнута, из одноразового шприца изымают клапан и прямо со столовой ложки заливают вовнутрь него приготовленную смесь.
#4
Ни в коем случае не рекомендуется пытаться затянуть содержимое в коктейльную трубочку через носик шприца, потихоньку высовывая из него клапан и делать это нужно только описанным выше способом. При этом, не стоит спешить и с проталкиванием пасты из сахара и селитры из самого поршня в трубочку, так как будущая оболочка охотничьих спичек нуждается в так называемой «доукомплектации». Она подразумевает использование фрагментов обыкновенных спичек, покрытых серой, для фиксации которых в каждой заготовке из трубочки должна оставаться небольшая пустота. Именно поэтому настоятельно рекомендуется набирать не сразу всю трубочку, а по отдельности каждый ее фрагмент, для чего ее необходимо предварительно разрезать по насечкам, заранее проставленным с помощью маркера контрастного цвета.
#5
В итоге, заполнять придется каждую охотничью спичку по отдельности, насаживая ее на носик шприца, в результате чего, в его области (имеется ввиду носик) образуется необходимая пустота, в которую в последствии вставляется часть настоящей спички, покрытая серой. Использовать такой замечательный источник огня рекомендуется только после окончательного застывания сахарной-селитряной смеси. Естественно, хранить такие спички рекомендуется не в обычном коробке из картона, в котором их головки также могут запросто отсыреть и не дать необходимую искру, а в жестяной, герметически закрывающейся емкости.
#6
Также не следует забывать и о том, что в нее необходимо заранее предварительно уложить боковую часть спичечного коробка, ведь именно в контакте с ним серная головка дает искру и, как следствие, устойчивое пламя. Как вариант, можно попробовать использовать и другие составляющие для наполнения трубочки, а в качестве примера можно привести такие вещества, как аммиачная селитра, серебрянка, нитролак и прочее, тому подобное.
Рекомендации по расширенным поисковым запросам в Microsoft 365 Defender
- Статья
Примечание
Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как вы можете оценить и протестировать Microsoft 365 Defender.
Применяется к:
- Microsoft 365 Defender
Применяйте эти рекомендации, чтобы быстрее получать результаты и избегать тайм-аутов при выполнении сложных запросов. Дополнительные рекомендации по повышению производительности запросов см. в разделе Рекомендации по запросам Kusto.
Понимание квот на ресурсы ЦП
В зависимости от размера каждый арендатор имеет доступ к определенному количеству ресурсов ЦП, выделенных для выполнения расширенных поисковых запросов.
Подробную информацию о различных параметрах использования см. в статье о расширенных квотах охоты и параметрах использования.После выполнения запроса вы можете увидеть время выполнения и использование ресурсов (низкое, среднее, высокое). Высокий уровень указывает на то, что для выполнения запроса требуется больше ресурсов, и его можно улучшить для более эффективного возврата результатов.
Клиенты, которые регулярно выполняют несколько запросов, должны отслеживать потребление и применять рекомендации по оптимизации, приведенные в этой статье, чтобы свести к минимуму сбои в работе из-за превышения квот или параметров использования.
Смотреть Оптимизация запросов KQL, чтобы узнать о некоторых наиболее распространенных способах улучшения ваших запросов.
Общие советы по оптимизации
Размер новых запросов — Если вы подозреваете, что запрос вернет большой набор результатов, сначала оцените его с помощью оператора подсчета. Используйте limit или его синоним
take
, чтобы избежать больших наборов результатов.Применить фильтры раньше — применить временные фильтры и другие фильтры для уменьшения набора данных, особенно перед использованием функций преобразования и синтаксического анализа, таких как substring(), replace(), trim(), toupper() или parse_json(). . В приведенном ниже примере функция анализа extractjson() используется после того, как операторы фильтрации сократили количество записей.
Девицеевентс | где Отметка времени > назад (1 дн.) | где ActionType == "UsbDriveMount" | где DeviceName == "user-desktop.domain.com" | расширить букву_диска = extractjson("$.буква_диска", AdditionalFields)
Has beats contains — чтобы избежать ненужного поиска подстрок внутри слов, используйте оператор
has
вместоcontains
. Подробнее о строковых операторахПоиск в определенных столбцах — Поиск в определенном столбце вместо выполнения полнотекстового поиска по всем столбцам. Не используйте
*
для проверки всех столбцов.С учетом регистра для скорости — Поиск с учетом регистра более точен и, как правило, более эффективен. Имена строковых операторов с учетом регистра, таких как
has_cs
иcontains_cs
, обычно заканчиваются на_cs
. Вы также можете использовать оператор равенства с учетом регистра==
вместо=~
.Анализировать, не извлекать — По возможности используйте оператор разбора или функцию разбора, например parse_json(). Избегайте
соответствует строковому оператору регулярного выражения
или функции extract(), обе из которых используют регулярное выражение. Зарезервируйте использование регулярного выражения для более сложных сценариев. Подробнее о функциях синтаксического анализаФильтровать таблицы, а не выражения — Не фильтровать по вычисляемому столбцу, если можно фильтровать по столбцу таблицы.
Трехсимвольные термины запрещены. — Избегайте сравнения или фильтрации с использованием трехсимвольных или менее символов. Эти термины не индексируются, и для их сопоставления потребуются дополнительные ресурсы.
Выборочное проецирование — сделайте ваши результаты более понятными, проецируя только те столбцы, которые вам нужны. Проецирование определенных столбцов перед выполнением соединения или подобных операций также помогает повысить производительность.
Оптимизация оператора соединения
Оператор соединения объединяет строки из двух таблиц путем сопоставления значений в указанных столбцах. Примените эти советы для оптимизации запросов, использующих этот оператор.
Меньшая таблица слева от вас — Оператор
join
сопоставляет записи в таблице в левой части оператора соединения с записями в правой. При наличии меньшего размера таблицы слева необходимо будет сопоставить меньшее количество записей, что ускорит выполнение запроса.В приведенной ниже таблице мы уменьшили левую таблицу
DeviceLogonEvents
, чтобы охватить только три определенных устройства, прежде чем присоединиться к ней с помощью
по идентификаторам SID учетной записи.Девицелогоневентс | где DeviceName в ("device-1.domain.com", "device-2.domain.com", "device-3.domain.com") | где ActionType == "LogonFailed" | присоединиться (Идентитолигоневентс | где ActionType == "LogonFailed" | где протокол == "Керберос") на AccountSid
Использовать разновидность внутреннего соединения — разновидность соединения по умолчанию или внутреннее уникальное соединение дедуплицирует строки в левой таблице с помощью ключа соединения, прежде чем возвращать строку для каждого совпадения с правой таблицей. Если в левой таблице есть несколько строк с одинаковым значением ключа
соединения
, эти строки будут дедуплицированы, чтобы оставить одну случайную строку для каждого уникального значения.Это поведение по умолчанию может пропустить важную информацию из левой таблицы, которая может дать полезную информацию. Например, приведенный ниже запрос покажет только одно электронное письмо, содержащее определенное вложение, даже если это же вложение было отправлено с использованием нескольких сообщений электронной почты:
EmailAttachmentInfo | где Отметка времени > назад (1 час) | где Тема == "Приложение к документу" и Имя файла == "Документ.pdf" | присоединиться (DeviceFileEvents | где Отметка времени> назад (1 час)) на SHA256
Чтобы устранить это ограничение, мы применяем разновидность внутреннего соединения, указав
kind=inner
, чтобы отобразить все строки в левой таблице с соответствующими значениями в правой:EmailAttachmentInfo | где Отметка времени > назад (1 час) | где Тема == "Приложение к документу" и Имя файла == "Документ.pdf" | присоединиться к kind=inner (DeviceFileEvents | где Timestamp>
Объединение записей из временного окна — При исследовании событий безопасности аналитики ищут связанные события, которые происходят примерно в тот же период времени. Применение того же подхода при использовании соединения
с соединением
также повышает производительность за счет уменьшения количества проверяемых записей.Приведенный ниже запрос проверяет события входа в систему в течение 30 минут после получения вредоносного файла:
EmailEvents | где Отметка времени > назад (7 дней) | где ThreatTypes имеет «Вредоносное ПО» | проект EmailReceivedTime = Timestamp, Subject, SenderFromAddress, AccountName = tostring(split(RecipientEmailAddress, "@")[0]) | присоединиться ( DeviceLogonEvents | где Отметка времени > назад (7 дней) | проект LogonTime = Timestamp, AccountName, DeviceName ) на AccountName | где (LogonTime - EmailReceivedTime) между (0min .. 30min)
Применить фильтры времени с обеих сторон — Даже если вы не исследуете конкретное временное окно, применение фильтров времени как к левой, так и к правой таблицам может уменьшить количество проверяемых записей и повысить производительность
соединения
. Приведенный ниже запрос применяетTimestamp > ago(1h)
к обеим таблицам, чтобы объединить только записи за последний час:EmailAttachmentInfo | где Отметка времени > назад (1 час) | где Тема == "Приложение к документу" и Имя файла == "Документ.pdf" | присоединиться к kind=inner (DeviceFileEvents | где Timestamp> назад(1h)) на SHA256
Использовать подсказки для повышения производительности — Используйте подсказки с оператором соединения
Например, подсказка в случайном порядке помогает повысить производительность запросов при объединении таблиц с использованием ключа с высокой кардинальностью — ключа с множеством уникальных значений, например
AccountObjectId
в следующем запросе:Информация о личности | где JobTitle == "КОНСУЛЬТАНТ" | присоединиться hint. shufflekey = AccountObjectId (Идентитидиректориевентс | где Приложение == "Active Directory" | где ActionType == "Получение личных данных") на AccountObjectId
Широковещательная подсказка помогает, когда левая таблица маленькая (до 100 000 записей), а правая очень большая. Например, приведенный ниже запрос пытается объединить несколько электронных писем с определенными темами с , все сообщения , содержащие ссылки в таблице
EmailUrlInfo
:EmailEvents | где Тема в ("Предупреждение: Обновите свои учетные данные сейчас", "Требуется действие: Обновите свои учетные данные сейчас") | join hint.strategy = широковещательная рассылка EmailUrlInfo по NetworkMessageId
Оптимизация оператора
summary
Оператор суммирования агрегирует содержимое таблицы. Примените эти советы для оптимизации запросов, использующих этот оператор.
Поиск различных значений — В общем, используйте
суммирование
для поиска различных значений, которые могут быть повторяющимися. Может быть ненужным использовать его для агрегирования столбцов, которые не имеют повторяющихся значений.Хотя одно электронное письмо может быть частью нескольких событий, в приведенном ниже примере , а не эффективное использование
суммирует
, потому что идентификатор сетевого сообщения для отдельного электронного письма всегда имеет уникальный адрес отправителя.EmailEvents | где Отметка времени > назад (1 час) | суммировать по NetworkMessageId, SenderFromAddress
Оператор
summary
можно легко заменить наproject
, что потенциально дает те же результаты при меньшем потреблении ресурсов:EmailEvents | где Отметка времени > назад (1 час) | проект NetworkMessageId, SenderFromAddress
В следующем примере показано более эффективное использование
, суммирующего
, поскольку может существовать несколько различных экземпляров адреса отправителя, отправляющего электронную почту на один и тот же адрес получателя. Такие комбинации менее различимы и, вероятно, имеют дубликаты.EmailEvents | где Отметка времени > назад (1 час) | суммировать по SenderFromAddress, RecipientEmailAddress
Перетасовать запрос — Хотя
итоговое значение
лучше всего использовать в столбцах с повторяющимися значениями, в одних и тех же столбцах также может быть высокая кардинальность или большое количество уникальных значений. Подобно операторуjoin
, вы также можете применить подсказку перетасовки с, суммировать
, чтобы распределить вычислительную нагрузку и потенциально повысить производительность при работе со столбцами с высокой кардинальностью.В приведенном ниже запросе
суммирует
для подсчета отдельных адресов электронной почты получателей, которые могут исчисляться сотнями тысяч в крупных организациях. Для повышения производительности он включаетhint.shufflekey 9.0046 :
EmailEvents | где Отметка времени > назад (1 час) | итог hint. shufflekey = RecipientEmailAddress count() by Subject, RecipientEmailAddress
Сценарии запросов
Идентификация уникальных процессов с идентификаторами процессов
Идентификаторы процессов (PID) перерабатываются в Windows и повторно используются для новых процессов. Сами по себе они не могут служить уникальными идентификаторами для определенных процессов.
Чтобы получить уникальный идентификатор процесса на конкретной машине, используйте идентификатор процесса вместе со временем создания процесса. Когда вы объединяете или суммируете данные о процессах, включите столбцы для идентификатора машины (либо DeviceId
или DeviceName
), идентификатор процесса ( ProcessId
или InitiatingProcessId
) и время создания процесса ( ProcessCreationTime
или InitiatingProcessCreationTime
или InitiatingProcessCreationTime
IP-адреса, которые находят более )
3
адреса через порт 445 (SMB), возможно, сканирование файловых ресурсов.Пример запроса:
DeviceNetworkEvents | где RemotePort == 445 и Timestamp > ago(12h) и InitiatingProcessId !in (0, 4) | суммировать RemoteIPCount=dcount(RemoteIP) по DeviceName, InitiatingProcessId, InitiatingProcessCreationTime, InitiatingProcessFileName | где RemoteIPCount > 10
Запрос суммируется как по InitiatingProcessId
, так и по InitiatingProcessCreationTime
, так что он рассматривает один процесс, не смешивая несколько процессов с одинаковым идентификатором процесса.
Запрос командной строки
Существует множество способов построения командной строки для выполнения задачи. Например, злоумышленник может сослаться на файл изображения без пути, без расширения файла, с использованием переменных среды или с кавычками. Злоумышленник также может изменить порядок параметров или добавить несколько кавычек и пробелов.
Чтобы создавать более надежные запросы для командных строк, применяйте следующие методы:
- Идентифицируйте известные процессы (например, net. exe или psexec.exe ) путем сопоставления полей имени файла вместо фильтрации по сама командная строка.
- Разбор разделов командной строки с помощью функции parse_command_line()
- При запросе аргументов командной строки не ищите точное совпадение нескольких несвязанных аргументов в определенном порядке. Вместо этого используйте регулярные выражения или используйте несколько отдельных операторов contains.
- Используйте совпадения без учета регистра. Например, используйте
=~
,в ~
, асодержит
вместо==
,в
иcontains_cs
. - Чтобы смягчить методы запутывания командной строки, рассмотрите возможность удаления кавычек, замены запятых пробелами и замены нескольких последовательных пробелов одним пробелом. Существуют более сложные методы запутывания, которые требуют других подходов, но эти настройки могут помочь решить распространенные проблемы.
В следующих примерах показаны различные способы построения запроса, который ищет файл net. exe для остановки службы брандмауэра «MpsSvc»:
// Непродолжительный запрос — не использовать DeviceProcessEvents | где ProcessCommandLine == "чистая остановка MpsSvc" | ограничение 10 // Лучший запрос - фильтрует имя файла, делает совпадения без учета регистра DeviceProcessEvents | где Timestamp > ago(7d) и FileName в~ ("net.exe", "net1.exe"), а ProcessCommandLine содержит "stop", а ProcessCommandLine содержит "MpsSvc" // Лучший запрос также игнорирует кавычки DeviceProcessEvents | где Timestamp > ago(7d) и FileName in~ ("net.exe", "net1.exe") | расширить CanonicalCommandLine=replace("\"", "", ProcessCommandLine) | где CanonicalCommandLine содержит «stop», а CanonicalCommandLine содержит «MpsSvc».
Прием данных из внешних источников
Чтобы включить в запрос длинные списки или большие таблицы, используйте оператор externaldata для приема данных из указанного URI. Вы можете получать данные из файлов в форматах TXT, CSV, JSON и других. В приведенном ниже примере показано, как вы можете использовать обширный список хэшей вредоносных программ SHA-256, предоставленный MalwareBazaar (abuse. ch), для проверки вложений в электронные письма:
let abuse_sha256 = (externaldata(sha256_hash: string) [@"https://bazaar.abuse.ch/export/txt/sha256/recent/"] с (формат="txt")) | где sha256_hash !начинается с "#" | проект sha256_hash; злоупотребление_sha256 | присоединиться (EmailAttachmentInfo | где Отметка времени > назад (1 дн.) ) на $left.sha256_hash == $right.SHA256 | Временная метка проекта, SenderFromAddress, RecipientEmailAddress, FileName, FileType, SHA256, типы угроз, методы обнаружения
Анализ строк
Существуют различные функции, которые можно использовать для эффективной обработки строк, требующих анализа или преобразования.
Строка | Функция | Пример использования |
---|---|---|
Командные строки | parse_command_line() | Извлечь команду и все аргументы. |
Пути | parse_path() | Извлечение разделов пути к файлу или папке. |
Номера версий | parse_version() | Деконструировать номер версии, содержащий до четырех разделов и до восьми символов в каждом разделе. Используйте проанализированные данные для сравнения возраста версий. |
Адреса IPv4 | parse_ipv4() | Преобразование адреса IPv4 в длинное целое число. Чтобы сравнить адреса IPv4 без их преобразования, используйте ipv4_compare(). |
Адреса IPv6 | parse_ipv6() | Преобразование адреса IPv4 или IPv6 в каноническую нотацию IPv6. Чтобы сравнить адреса IPv6, используйте ipv6_compare(). |
Чтобы узнать обо всех поддерживаемых функциях синтаксического анализа, прочитайте статью о строковых функциях Kusto.
Примечание
Некоторые таблицы в этой статье могут быть недоступны в Microsoft Defender для конечной точки. Включите Защитник Microsoft 365, чтобы искать угрозы, используя дополнительные источники данных. Вы можете переместить расширенные рабочие процессы поиска из Microsoft Defender для конечной точки в Microsoft 365 Defender, выполнив действия, описанные в статье Перенос расширенных запросов поиска из Microsoft Defender для конечной точки.
- Документация по языку запросов Kusto
- Квоты и параметры использования
- Обработка расширенных ошибок поиска
- Расширенный обзор охоты
- Выучить язык запросов
Игры в охоту и прятки — Primitive Pursuits, Итака
Вернуться к обзору игр
Вернуться к библиотеке ресурсов
оставить пустым
Охота на опоссумов
Две команды обозначены как опоссумы и лисы. У команды опоссумов есть несколько минут, чтобы спрятаться. У команды лис есть несколько минут на поиски. Все лисы должны сделать, это увидеть опоссумов. В качестве альтернативы они должны пометить опоссумов. Переключитесь, чтобы у каждой команды была возможность спрятаться.
- Рекомендации по оформлению: Расскажите об удивительных аспектах опоссумов, а также об их отношении к собакам.
- Условия успеха: Заросшая кустарником местность с большим количеством укрытий — хорошее место для этой игры. Эта игра также очень интересна в сумерках или в темноте.
Камуфляж
Неожиданно инструктор кричит: «Камуфляж!»
У каждого есть около 30 секунд, чтобы спрятаться. Они должны иметь возможность видеть инструктора из своего укрытия. Инструктор старается указать как можно больше людей, не двигаясь.
- Рекомендации по обрамлению: Прячась поближе развивает навык невидимости, бросьте вызов отдыхающим, чтобы увидеть, кто может быть ближе всего, не будучи замеченным. Также вы можете спросить их: как бы спрятался олень? Спрячет ли он голову или будет смотреть на хищника?
- Соображения для успеха: Играйте в эту игру спонтанно на любой местности. Воспользуйтесь толстыми областями.
- Возможные ловушки: Некоторые отдыхающие прячутся так далеко, что их даже трудно перезвонить. Убедитесь, что все умеют играть.
Птеродактиль
«Птеродактиль!» вызывается. У каждого есть 5 секунд, чтобы спрятаться под кустом, прежде чем гигантская доисторическая птица схватит его. Следует играть в районе с большим количеством кустов, чтобы двум людям не приходилось ютиться под одним кустом. В качестве альтернативы можно дать больше времени, чтобы «добыча» не скапливалась.
Засада/прогулка по тропе
Несколько туристов бегут вперед по тропе и прячутся вдоль нее. Затем инструктор или половина группы идет по тропе и пытается найти как можно больше людей.
- Рекомендации по обрамлению: это шанс улучшить свои навыки маскировки, находясь как можно ближе к следу
Хищник/Съедобная игра
В этой игре туристы являются добычей, которая должна отправиться в дебри и собрать спрятанные шары-банданы («еда»). Пока они собираются, за ними охотятся несколько инструкторов, которые являются хищниками. В случае захвата они должны лишиться всех собранных шаров с банданой и дождаться, пока их «разморозят».
- Условия успеха: Эта игра лучше всего работает в местах, где есть много мест, где можно спрятаться. В нее можно играть как очень большой компанией, так и маленькой. Хищники должны быть очень скрытными и устраивать засаду на отдыхающих, когда они меньше всего подозревают.
- Предложение по обрамлению: это эпическая игра, отражающая борьбу не на жизнь, а на смерть диких животных, добывающих корм и охотящихся.
- Возможные ловушки: Отдыхающие остаются в гнезде и не выходят за кормом. Гнездо охраняют гусиные хищники.
Койоты и олени
Начнем с одного или двух койотов. Все остальные — олени. Если оленя пометили, он превращается в койота и охотится на оленя. Часто только несколько оленей выживают, когда баланс между хищником и добычей исчезает.
- Соображения для успеха: Это хорошая игра-ледокол для начала дня, так как она заставляет людей двигаться. После игры спросите, кто из оленей выжил и как (убежал или спрятался).
- Рекомендации по кадрированию: койоты едят оленей; затем олени превращаются в койотов по мере их переваривания. Выживают не обязательно самые быстрые животные, а те, которые прячутся. Что делают настоящие олени днем и ночью?
- Возможные ловушки: туристы могут упасть и получить травму, так как в этой игре много погони на высокой скорости. Люди не уверены, кто олень, а кто койот. Используйте реквизит, например бандану, или попросите участников использовать символы и звуки для различения.
В поисках огня
До спичек, до фрикционных комплектов люди отправлялись на поиски огня, чтобы найти лесные пожары. Туристы отправляются в этот квест, чтобы найти спички или фрикционные комплекты, в то время как на них охотятся доисторические хищники (саблезубые тигры, лютые волки, пещерные медведи и т. д.).
- Рекомендации по обрамлению: заставьте отдыхающих говорить о ледниковом периоде. Каково было жить в таком месте? Какими были животные? Насколько это было опасно?
- Соображения для успеха: Охотникам нужны хорошие укрытия, из которых они могут удивить отдыхающих. Это ключ к большинству игр хищник/жертва. Когда отдыхающие действительно попадают в засаду, они используют свое осознание.
- Возможные ловушки: Спички слишком хорошо спрятаны (чтобы это исправить, тайком передвигайте их во время игры). Охотники не прячутся и не с энтузиазмом гоняются, и отдыхающим становится менее интересно.
Беги, Кролик, Беги
Сделайте 3 больших круга из рюкзаков, бревен или бандан. Большинство отдыхающих — кролики в любом из кругов. Некоторые люди — это лисы, которые перемещаются вне кругов. По сигналу все кролики должны покинуть свой круг и найти безопасное место в другом. Если их помечает лиса, они становятся лисами.
Ястребы и певчие птицы
В лесу спрятаны предметы. Это может быть флаг, закуска, фрикционный набор и т. д. Певчие птицы должны попытаться найти его, пока на них охотятся ястребы. Их нельзя атаковать, если они все вместе и разговаривают только на птичьем языке, если только они не подберутся слишком близко к «невидимому» хищнику.
- Условия успеха: в эту игру лучше всего играть на большой территории с большим количеством укрытий, где хищники могут незаметно наблюдать за певчими птицами. Скрытый предмет можно перемещать во время игры, если он находится в слишком сложном месте.
- Рекомендации по кадрированию: Многие животные выживают, держась вместе и наблюдая за опасностью многими глазами. Животные-жертвы, которые сами сбиваются с пути, уязвимы.
- Возможные ловушки: предмет слишком хорошо спрятан или его сразу находят.