高度な狩猟に関する専門家のトレーニングを受ける
適用対象:
- Microsoft Defender XDR
新しいセキュリティ アナリストや経験豊富な脅威ハンター向けの Web キャスト シリーズである 敵対者の追跡を使用して、高度なハンティングに関する知識を迅速に向上させます。 このシリーズでは、独自の高度なクエリを作成するための基本について説明します。 基礎についての最初のビデオから始めるか、あなたの経験のレベルに合ったより高度なビデオにジャンプしてください。
Title | 説明 | 視聴する | クエリ |
---|---|---|---|
エピソード 1: KQL の基礎 | このエピソードでは、Microsoft Defender XDRでの高度な狩猟の基本について説明します。 使用可能な高度なハンティング データと基本的な KQL 構文と演算子について説明します。 | YouTube (54:14) | テキストファイル |
エピソード 2: 参加 | 高度なハンティングのデータと、テーブルを結合する方法について引き続き学習します。
inner 、outer 、unique 、semi 結合について説明し、既定の Kusto innerunique 結合のニュアンスを理解します。 |
YouTube (53:33) | テキストファイル |
エピソード 3: データの要約、ピボット、視覚化 | データのフィルター処理、操作、結合を行う方法を学習したので、要約、定量化、ピボット、視覚化を行います。 このエピソードでは、スキーマに追加のテーブルを導入しながら、 summarize 演算子とさまざまな計算について説明します。 また、分析情報を抽出するのに役立つグラフにデータセットを変換する方法についても説明します。 |
YouTube (48:52) | テキストファイル |
エピソード 4: 狩りしよう! インシデント追跡への KQL の適用 | このエピソードでは、攻撃者のアクティビティを追跡する方法について説明します。 Kusto と高度なハンティングに関する理解を深め、攻撃を追跡します。 サイバーセキュリティの ABC やインシデント対応に適用する方法など、現場で使用される実際のテクニックについて説明します。 | YouTube (59:36) | テキストファイル |
L33TSP3AKを使用してより専門的なトレーニングを受ける: Microsoft Defender XDRでの高度なハンティング、高度なハンティングを使用してセキュリティ調査を実施する際の技術的な知識と実用的なスキルを拡張しようとしているアナリスト向けの Web キャスト シリーズMicrosoft Defender XDR。
Title | 説明 | 視聴する | クエリ |
---|---|---|---|
エピソード 1 | このエピソードでは、高度なハンティング クエリを実行する際のさまざまなベスト プラクティスについて説明します。 取り上げるトピックの中には、クエリを最適化する方法、ランサムウェアの高度なハンティングを使用する方法、JSON を動的な型として処理する方法、外部データ演算子を操作する方法などがあります。 | YouTube (56:34) | テキストファイル |
エピソード 2 | このエピソードでは、受信トレイ転送ルールを使用して、疑わしいまたは異常なログオン場所とデータ流出を調査して対応する方法について説明します。 Cloud Security CxE のシニア プログラム マネージャーであるセバスチャン・モレンダイクは、高度なハンティングを使用して、Microsoft Defender for Cloud Apps データを使用して複数ステージのインシデントを調査する方法について説明します。 | YouTube (57:07) | テキストファイル |
エピソード 3 | このエピソードでは、高度なハンティングの最新の機能強化、外部データ ソースをクエリにインポートする方法、パーティション分割を使用して大きなクエリ結果を小さな結果セットにセグメント化して API の制限に達しないようにする方法について説明します。 | YouTube (40:59) | テキストファイル |
CSL ファイルの使用方法
エピソードを開始する前 に、GitHub 上の対応するテキスト ファイルに アクセスし、その内容を高度なハンティング クエリ エディターにコピーします。 エピソードをwatchすると、コピーした内容を使用して話者に従ってクエリを実行できます。
クエリを含むテキスト ファイルからの次の抜粋は、 //
付きのコメントとしてマークされた包括的なガイダンスのセットを示しています。
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
同じテキスト ファイルには、次に示すように、コメントの前後にクエリが含まれています。 エディターで複数のクエリを使用して特定のクエリを実行するには、カーソルをそのクエリに移動し、[クエリの実行] を選択します。
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
その他のリソース
Title | 説明 | 視聴する |
---|---|---|
KQL でのテーブルの結合 | 意味のある結果を作成するテーブルを結合する能力について説明します。 | YouTube (4:17) |
KQL でのテーブルの最適化 | クエリを最適化することで、複雑なクエリを実行するときにタイムアウトを回避する方法について説明します。 | YouTube (5:38) |
関連項目
- 高度な追求の概要
- 高度な捜索のクエリ言語について学習する
- クエリ結果を操作する
- 共有クエリを使用する
- デバイス、メール、アプリ、ID 全体で探す
- スキーマを理解する
- クエリのベスト プラクティスを適用する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。