Microsoft Defender for Office 365の高度なハンティングの例

適用対象:

• Microsoft Defender XDR

高度な検出を使用してメールの脅威の検索を開始しますか? 次の手順を試してください。

Microsoft Defender for Office 365デプロイ ガイドでは、すぐに始め、1 日目に構成を取得する方法について説明します。

既定のセキュリティ ポリシーとカスタム ポリシーの選択に応じて、配信後にメールボックスから悪意のあるメッセージが削除されたかどうかを知るために、ゼロ時間自動消去 (ZAP) 設定が重要です。

問題を探し出す場合に、Kusto クエリ言語にすばやく移動できることは、2 つのセキュリティ センターを集約する利点です。 セキュリティ チームは、ハンティング>Advanced Hunting のMicrosoft Defender ポータルで次の手順を実行することで、ZAP ミスをhttps://security.microsoft.com>監視できます。

1. の [高度なハンティング] ページ で https://security.microsoft.com/v2/advanced-hunting、[ 新しいクエリ ] タブが選択されていることを確認します。

2. [クエリ] ボックスに次の クエリ をコピーします。

   EmailPostDeliveryEvents 
   | where Timestamp > ago(7d)
   //List malicious emails that were not zapped successfully
   | where ActionType has "ZAP" and ActionResult == "Error"
   | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
   //Get logon activity of recipients using RecipientEmailAddress and AccountUpn
   | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
   | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
   //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
   | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
   LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType
   

3. [クエリの実行] を選択します。

このクエリのデータは、クエリ自体の下の [結果 ] パネルに表示されます。 結果には、 などのDeviceNameAccountDisplayName情報がZapTime、カスタマイズ可能な結果セットに含まれます。 ユーザーの記録用に、結果をエクスポートすることもできます。 再利用のためにクエリを保存するには、[名前を付けて保存]> を選択して、クエリ、共有クエリ、またはコミュニティ クエリの一覧にクエリを追加します。

関連情報

• 高度なハンティングのベスト プラクティス
• 概要 - 高度なハンティング

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。