ガイド モードでクエリを絞り込む
適用対象:
- Microsoft Defender XDR
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
さまざまなデータ型を使用する
ガイド付きモードでの高度なハンティングでは、クエリの微調整に使用できる複数のデータ型がサポートされています。
数値
文字列
フリー テキスト ボックスに値を入力し、 Enter キーを押して追加します。 値間の区切り記号は Enter であることに注意してください。
ブール型
Datetime
クローズド リスト - 探している正確な値を覚えておく必要はありません。 複数選択をサポートする推奨されるクローズド リストから簡単に選択できます。
サブグループを使用する
[ サブグループの追加] をクリックすると、条件のグループを作成できます。
検索にスマート オートコンプリートを使用する
デバイスとユーザー アカウントを検索するためのスマート オートコンプリートがサポートされています。 デバイス ID、完全なデバイス名、またはユーザー アカウント名を記憶する必要はありません。 探しているデバイスまたはユーザーの最初の数文字を入力し始め、必要なものを選択できる推奨リストが表示されます。
EventType
を使う
該当する任意のセクションで EventType フィルターを使用して、すべての失敗したログオン、ファイル変更イベント、成功したネットワーク接続などの特定のイベントの種類を検索することもできます。
たとえば、レジストリ値の削除を検索する条件を追加する場合は、[ レジストリ イベント ] セクションに移動し、[ EventType] を選択します。
[レジストリ イベント] で [EventType] を選択すると、検索対象の RegistryValueDeleted など、さまざまなレジストリ イベントから選択できます。
注:
EventType
は、高度なモードの ActionType
ユーザーがより使い慣れている可能性があるデータ スキーマの と同等です。
サンプル サイズを小さくしてクエリをテストする
まだクエリで作業していて、そのパフォーマンスといくつかのサンプル結果をすばやく確認したい場合は、[サンプル サイズ ] ドロップダウン メニューから小さなセットを選択して、返すレコードの数を調整します。
サンプル サイズは、既定で 10,000 件の結果に設定されています。 これは、ハンティングで返すことができるレコードの最大数です。 ただし、クエリの改善に取り組んでいる間、サンプル サイズを 10 または 100 に下げることを強くお勧めします。
次に、クエリを終了し、それを使用してハンティング アクティビティに関連するすべての結果を取得する準備ができたら、サンプル サイズが最大 10k に設定されていることを確認します。
クエリの作成後に高度なモードに切り替える
[KQL で編集] をクリックすると、選択した条件によって生成された KQL クエリを表示できます。 KQL で編集すると、新しいタブが高度なモードで開き、対応する KQL クエリが表示されます。
上の例では、選択したビューは [すべて] であるため、KQL クエリでは、名前と SHA256 のファイル プロパティを持つすべてのテーブルと、これらのプロパティをカバーするすべての関連列が検索されます。
ビューを [メール] & コラボレーションに変更すると、クエリは次のように絞り込まれます。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。