次の方法で共有

高度な捜索で共有クエリを使用する

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

高度な捜索クエリは、同じ組織内のユーザー間で共有できます。 また、自分だけがアクセスできるクエリを保存することもできます。 GitHub でパブリックに共有されているコミュニティ クエリを見つけることもできます。 これらの保存されたクエリを使用すると、クエリをゼロから記述することなく、特定の脅威ハンティング シナリオをすばやく追求できます。

高度なハンティングの [クエリ] タブには、 共有クエリマイ クエリコミュニティ クエリのドロップダウン メニューがあります。 下向きの矢印を選択してメニューを展開できます。

Microsoft Defender ポータルでの共有クエリ、マイ クエリ、コミュニティ クエリ

クエリを保存、変更、共有する

新規または既存のクエリを保存して、自分のみアクセスできるようにしたり、組織内の他のユーザーと共有したりできます。

  1. クエリを作成または変更します。

  2. [クエリの保存] ドロップダウン ボタンをクリックし、[名前を付けて保存] を選択します。

  3. クエリの名前を入力します。

    Microsoft Defender ポータルに保存される新しいクエリ

  4. クエリを保存するフォルダーを選択します。

    • [共有クエリ] — 組織のすべてのユーザーに共有する
    • [マイ クエリ] — 自分のみアクセス可能

  5. [保存] を選択します。

クエリを削除または名前を変更する

  1. 名前を変更または削除するクエリの右側にある 3 つのドットを選択します。

    Microsoft Defender ポータルの [詳細ハンティング] ページでクエリの名前を変更または削除する

  2. [削除] を選択して、削除を確認します。 または、[名前の変更] を選択して、クエリに新しい名前を入力ます。

高度なハンティング クエリ エディターでクエリを直接開くリンクを生成するには、クエリを終了して [ リンクの共有] を選択します。

GitHub リポジトリのコミュニティ クエリにアクセスする

Microsoft のセキュリティ調査員は、GitHub の指定された公開リポジトリで高度な捜索クエリを定期的に共有しています。 このリポジトリへの投稿は、公開される前に確認されます。 投稿するには、GitHub に無料で参加してください。

これらのクエリは、[ コミュニティ クエリ ] ドロップダウン メニューでも簡単に見つけることができます。

Microsoft Defender ポータルのフォルダー別に整理されたコミュニティ クエリ

コミュニティ クエリは、 キャンペーンコレクション防御回避などのフォルダーにグループ化されます。 クエリに関する詳細情報は、クエリ自体のインライン コメントとして提供されます。

ヒント

また、Microsoft のセキュリティ調査員は高度な捜索クエリも提供しています。これを使用して、新たな脅威に関連するアクティビティやインジケータを特定できます。 これらのクエリは、Microsoft Defender XDRの脅威分析レポートの一部として提供されます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。