次の方法で共有


Microsoft Sentinel でカスタム ハンティング クエリを作成する

カスタム ハンティング クエリを使用して組織のデータ ソース全体でセキュリティ上の脅威をハントします。 Microsoft Sentinel には、ネットワーク上のデータの問題を見つけるのに役立つ、組み込みのハンティング クエリが用意されています。 ただし、独自のカスタム クエリを作成することもできます。 ハンティング クエリの詳細については、「Microsoft Sentinel の脅威ハンティング」を参照してください。

新しいクエリを作成する

Microsoft Sentinel で、[ハンティング]>[クエリ] タブでカスタム ハンティング クエリを作成します。

  1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[ハンティング] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[ハンティング] を選択します。

  2. [クエリ] タブを選択します。

  3. コマンド バーで、[新しいクエリ] を選択します。

  4. すべての空フィールドに入力します。

    1. エンティティ型、識別子、列を選択して、エンティティ マッピングを作成します。

      ハンティング クエリでのエンティティ型のマッピングのスクリーンショット。

    2. MITRE ATT&CK の手法をハンティング クエリにマップするために、戦術、手法、サブ手法 (該当する場合) を選択します。

      新しいクエリ

  5. クエリの定義が完了したら、[作成] を選択します。

既存のクエリをクローンする

カスタム クエリまたは組み込みクエリをクローンし、必要に応じて編集します。

  1. [ハンティング]>[クエリ] タブで、クローンするハンティング クエリを選択します。

  2. 変更するクエリの行で省略記号 (...) を選択し、[クローン] を選択します。

  3. クエリとその他のフィールドを必要に応じて編集します。

  4. [作成] を選択します

既存のカスタム クエリを編集する

編集できるのは、カスタム コンテンツ ソースからのクエリのみです。 他のコンテンツ ソースは、そのソースで編集する必要があります。

  1. [ハンティング]>[クエリ] タブで、変更するハンティング クエリを選択します。

  2. 変更するクエリの行で省略記号 (...) を選択し、[編集] を選択します。

  3. 更新されたクエリを使用して [クエリ] フィールドを更新します。 エンティティのマッピングと手法を変更することもできます。

  4. 終了したら、[保存] を選択します。