次の方法で共有

Microsoft Sentinel でハンティング ライブストリームを使用して脅威を検出する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

ハンティング ライブストリームを使用して、イベントの発生時に新たに作成したクエリをテストしたり、一致が見つかった場合にセッションから通知を取得したり、必要に応じて調査を開始したりできるようにする対話型セッションを作成します。 どのような Log Analytics クエリを使用したライブストリーム セッションでも、すばやく作成できます。

この記事では、Defender にも存在する Microsoft Sentinel での ハンティング について説明します。 Microsoft Defender での 高度なハンティング については、 Microsoft Defender の高度なハンティングを使用して脅威を事前に検出する方法に関する説明を参照してください。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます

Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

ライブストリーム セッションを作成する

既存のハンティング クエリからライブストリーム セッションを作成することも、ゼロからセッションを作成することもできます。

  1. Azure portal の Microsoft Sentinel の場合、[脅威の管理] で [ハンティング] を選択します。
    Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Threat management>Hunting を選択します。 ハンティングを選択し、高度なハンティングは選ばないようにしてください。

  2. ハンティング クエリからライブストリーム セッションを作成するには、次のようにします。

    1. [ クエリ ] タブで、使用するハンティング クエリを見つけます。
    2. クエリを右クリックし、[ ライブストリームに追加] を選択します。 次に例を示します。

    Microsoft Sentinel ハンティング クエリから Livestream セッションを作成する

  3. ゼロからライブストリーム セッションを作成するには、次のようにします。

    1. [Livestream] タブを選択します。
    2. [ + 新しいライブストリーム] を選択します。

  4. [Livestream] ウィンドウで、次の操作を行います。

    • クエリからライブストリームを開始した場合は、クエリを確認し、必要があれば変更を加えてください。
    • ゼロからライブストリームの作成を開始した場合は、クエリを作成します。

    Livestream では、Azure Data Explorer でのデータの リソース間クエリ がサポートされています。 リソース間クエリの詳細を確認します

  5. コマンド バーから [再生 ] を選択します。

    コマンド バーの下にあるステータス バーに、ライブストリーム セッションが実行中であるか一時停止しているかが示されます。 次の例では、セッションが実行中です。

    Microsoft Sentinel ハンティングからライブストリーム セッションを作成する

  6. コマンド バーから [保存] を 選択します。

    [一時停止] を選択しない限り、Azure portal からサインアウトするまでセッションは継続して実行されます。

ライブストリーム セッションを表示する

[ ハンティング>ライブストリーム ] タブでライブストリーム セッションを見つけます。

  1. Azure portal の Microsoft Sentinel の場合、[脅威の管理] で [ハンティング] を選択します。
    Defender ポータルの Microsoft Sentinel の場合は、Microsoft Sentinel>Threat management>Hunting を選択します。

  2. [Livestream] タブを選択します。

  3. 表示または編集するライブストリーム セッションを選択します。 次に例を示します。

    Microsoft Sentinel ハンティング クエリからライブストリーム セッションを作成する

    選択したライブストリーム セッションが開き、再生、一時停止、編集などを行うことができるようになります。

新しいイベントが発生したときに通知を受け取る

新しいイベントのライブストリーム通知は、Azure または Defender ポータルの通知と共に表示されます。 次に例を示します。

ライブストリームの Azure portal 通知

  1. Azure または Defender ポータルで、ポータル ページの右上にある通知に移動します。
  2. 通知を選択して[Livestream]\( ライブストリーム \) ウィンドウを開きます。

ライブストリーム セッションをアラートに昇格させる

関連するライブストリーム セッションのコマンド バーから [Elevate to alert]\(アラートに昇格 \) を選択して、ライブストリーム セッションを新しいアラートに昇格させます。

ライブストリーム セッションをアラートに昇格させる

このアクションにより、ルールの作成ウィザードが開きます。このウィザードには、ライブストリーム セッションに関連付けられているクエリが事前に設定されています。

次のステップ

この記事では、Microsoft Sentinel でハンティング ライブストリームを使用する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。