次の方法で共有

Microsoft Sentinel で大規模なデータセット間で特定のイベントを検索する

  • 適用対象: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

調査を開始するときに検索ジョブを使用して、特定のイベントについてテーブル内の最大 1 年間のデータをスキャンします。 Analytics、Basic、および補助ログ プランを含むテーブルを含め、任意のテーブルで検索ジョブを実行できます。 検索ジョブは、その結果をソース データと同じワークスペース内の新しい Analytics テーブルに送信します。

この記事では、Microsoft Sentinel で検索ジョブを実行する方法と、検索ジョブの結果を操作する方法について説明します。

特定のデータ セットに対する検索ジョブで、追加料金が発生する場合があります。 詳細については、Microsoft Sentinel の価格ページを参照してください。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます

Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

検索ジョブを開始する

Azure portal または Microsoft Defender ポータルから Microsoft Sentinel の [検索] に移動し、検索条件を入力します。 ターゲット データセットのサイズに応じて検索時間は変わります。 ほとんどの検索ジョブは数分で完了しますが、最長で 24 時間かかる大規模なデータ セットの検索もサポートされています。

  1. Defender ポータルの Microsoft Sentinel の場合、[Microsoft Sentinel]>[検索] を選択します。 Azure portal の Microsoft Sentinel の場合、[全般] の下にある [検索] を選択します。

  2. [テーブル] メニューを選び、検索対象のテーブルを選びます。

  3. [検索] ボックスに検索用語を入力します。

  4. [開始] を選択して、高度な Kusto 照会言語 (KQL) エディターを開き、設定された時間範囲の結果のプレビューを表示します。

  5. 必要に応じて KQL クエリを変更し、[実行] を選択して、検索結果の更新されたプレビューを取得します。

    検索を修正した KQL エディターのスクリーンショット。

  6. クエリと検索結果のプレビューに問題がなければ、... 省略記号を選択し、[検索ジョブ モード] をオンに切り替えます。

    [Search job mode] (検索ジョブ モード) の省略記号が強調表示され、検索が修正された KQL エディターのスクリーンショット。

  7. 時間範囲セレクターを使用して、検索ジョブの日付範囲を指定します。 クエリで時間範囲も指定されている場合、Microsoft Sentinel は時間範囲の和集合で検索ジョブを実行します。

  8. エディター内の赤い波線で示された KQL の問題を解決します。

  9. 検索ジョブを開始する準備ができたら、[検索ジョブ] を選択します。

  10. 新しいテーブル名を入力して、検索ジョブの結果を格納します。

  11. [検索ジョブの実行] を選択します。

  12. 通知 [検索ジョブが完了しました] を待ち、結果を表示します。

検索ジョブの結果を表示する

[保存された検索] タブに移動して、検索ジョブの状態と結果を表示します。

  1. Microsoft Sentinel で、[検索]>[保存された検索] を選択します。

  2. 検索カードで、[検索結果の表示] を選択します。

    検索ジョブ カードの下部にある検索結果を表示するリンクを示すスクリーンショット。

    既定では、元の検索条件に一致する結果すべてが表示されます。

  3. 検索テーブルから返された結果の一覧を絞り込むには、[フィルターを追加] を選択します。

  4. 検索ジョブ結果を確認しているときに、[ブックマークの追加] を選択するか、ブックマーク アイコンを選んで行を保存します。 ブックマークを追加すると、イベントにタグを付け、メモを追加し、後で参照するためにこれらのイベントをインシデントにアタッチすることができます。

    ブックマークの追加プロセスである検索ジョブ結果を示すスクリーンショット。

  5. [列] ボタンを選択し、結果ビューに追加する列の横にあるチェックボックスをオンにします。

  6. [ブックマーク設定済み] フィルターを追加し、保存されたエントリのみを表示します。

  7. [すべてのブックマークを表示] を選んで [ハンティング] ページに移動します。ここで、既存のインシデントにブックマークを追加できます。

次のステップ

詳細については、以下の記事をお読みください。