次の方法で共有


高度な狩猟に関する専門家のトレーニングを受ける

適用対象:

  • Microsoft Defender XDR

新しいセキュリティ アナリストや経験豊富な脅威ハンター向けの Web キャスト シリーズである 敵対者の追跡を使用して、高度なハンティングに関する知識を迅速に向上させます。 このシリーズでは、独自の高度なクエリを作成するための基本について説明します。 基礎についての最初のビデオから始めるか、あなたの経験のレベルに合ったより高度なビデオにジャンプしてください。

Title 説明 視聴する クエリ
エピソード 1: KQL の基礎 このエピソードでは、Microsoft Defender XDRでの高度な狩猟の基本について説明します。 使用可能な高度なハンティング データと基本的な KQL 構文と演算子について説明します。 YouTube (54:14) テキストファイル
エピソード 2: 参加 高度なハンティングのデータと、テーブルを結合する方法について引き続き学習します。 innerouteruniquesemi結合について説明し、既定の Kusto innerunique 結合のニュアンスを理解します。 YouTube (53:33) テキストファイル
エピソード 3: データの要約、ピボット、視覚化 データのフィルター処理、操作、結合を行う方法を学習したので、要約、定量化、ピボット、視覚化を行います。 このエピソードでは、スキーマに追加のテーブルを導入しながら、 summarize 演算子とさまざまな計算について説明します。 また、分析情報を抽出するのに役立つグラフにデータセットを変換する方法についても説明します。 YouTube (48:52) テキストファイル
エピソード 4: 狩りしよう! インシデント追跡への KQL の適用 このエピソードでは、攻撃者のアクティビティを追跡する方法について説明します。 Kusto と高度なハンティングに関する理解を深め、攻撃を追跡します。 サイバーセキュリティの ABC やインシデント対応に適用する方法など、現場で使用される実際のテクニックについて説明します。 YouTube (59:36) テキストファイル

L33TSP3AKを使用してより専門的なトレーニングを受ける: Microsoft Defender XDRでの高度なハンティング、高度なハンティングを使用してセキュリティ調査を実施する際の技術的な知識と実用的なスキルを拡張しようとしているアナリスト向けの Web キャスト シリーズMicrosoft Defender XDR。

Title 説明 視聴する クエリ
エピソード 1 このエピソードでは、高度なハンティング クエリを実行する際のさまざまなベスト プラクティスについて説明します。 取り上げるトピックの中には、クエリを最適化する方法、ランサムウェアの高度なハンティングを使用する方法、JSON を動的な型として処理する方法、外部データ演算子を操作する方法などがあります。 YouTube (56:34) テキストファイル
エピソード 2 このエピソードでは、受信トレイ転送ルールを使用して、疑わしいまたは異常なログオン場所とデータ流出を調査して対応する方法について説明します。 Cloud Security CxE のシニア プログラム マネージャーであるセバスチャン・モレンダイクは、高度なハンティングを使用して、Microsoft Defender for Cloud Apps データを使用して複数ステージのインシデントを調査する方法について説明します。 YouTube (57:07) テキストファイル
エピソード 3 このエピソードでは、高度なハンティングの最新の機能強化、外部データ ソースをクエリにインポートする方法、パーティション分割を使用して大きなクエリ結果を小さな結果セットにセグメント化して API の制限に達しないようにする方法について説明します。 YouTube (40:59) テキストファイル

CSL ファイルの使用方法

エピソードを開始する前 に、GitHub 上の対応するテキスト ファイルに アクセスし、その内容を高度なハンティング クエリ エディターにコピーします。 エピソードをwatchすると、コピーした内容を使用して話者に従ってクエリを実行できます。

クエリを含むテキスト ファイルからの次の抜粋は、 //付きのコメントとしてマークされた包括的なガイダンスのセットを示しています。

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

同じテキスト ファイルには、次に示すように、コメントの前後にクエリが含まれています。 エディターで複数のクエリを使用して特定のクエリを実行するには、カーソルをそのクエリに移動し、[クエリの実行] を選択します。

DeviceLogonEvents
| count

// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp

CloudAppEvents
| take 100
| sort by Timestamp desc

その他のリソース

Title 説明 視聴する
KQL でのテーブルの結合 意味のある結果を作成するテーブルを結合する能力について説明します。 YouTube (4:17)
KQL でのテーブルの最適化 クエリを最適化することで、複雑なクエリを実行するときにタイムアウトを回避する方法について説明します。 YouTube (5:38)

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。