Go hunt を使用してエンティティまたはイベント情報をすばやく検索する
適用対象:
- Microsoft Defender XDR
go hunt アクションを使用すると、強力なクエリ ベースの高度なハンティング機能を使用して、イベントやさまざまなエンティティの種類をすばやく調査できます。 このアクションでは、高度なハンティング クエリが自動的に実行され、選択したイベントまたはエンティティに関する関連情報が検索されます。
go hunt アクションは、Microsoft Defender XDRのさまざまなセクションで使用できます。 このアクションは、イベントまたはエンティティの詳細が表示されたら表示できます。 たとえば、次のセクションの go ハント オプションを使用できます。
インシデント ページでは、インシデントに関連付けられているユーザー、デバイス、およびその他の多くのエンティティに関する詳細を確認できます。 エンティティを選択すると、追加情報と、そのエンティティに対して実行できるさまざまなアクションが得られます。 次の例では、メールボックスが選択されており、メールボックスの詳細と、メールボックスに関する詳細情報を検索するオプションが表示されています。
![Microsoft Defender ポータルの [Go hunt] オプションが表示された [メールボックス] ページ](/ja-jp/defender/media/go-hunt-1-incident.png)
インシデント ページでは、[ 証拠 ] タブの下にあるエンティティの一覧にアクセスすることもできます。これらのエンティティのいずれかを選択すると、そのエンティティに関する情報をすばやく検索するためのオプションが提供されます。
![ポータルの [インシデント] ページの証拠の [Go hunt] オプションMicrosoft Defender](/ja-jp/defender/media/go-hunt-2-entity.png)
デバイスのタイムラインを表示するときに、タイムラインでイベントを選択して、そのイベントに関する追加情報を表示できます。 イベントが選択されると、高度なハンティングで他の関連イベントを検索するオプションが表示されます。
![ポータルの [タイムライン] タブにあるイベントのページの [関連イベントの検索] オプションMicrosoft Defender](/ja-jp/defender/media/go-hunt-3-event.png)
![Microsoft Defender ポータルの [Go hunt] オプションが表示された [メールボックス] ページ](/ja-jp/defender/media/go-hunt-1-incident.png#lightbox)
![ポータルの [インシデント] ページの証拠の [Go hunt] オプションMicrosoft Defender](/ja-jp/defender/media/go-hunt-2-entity.png#lightbox)
![ポータルの [タイムライン] タブにあるイベントのページの [関連イベントの検索] オプションMicrosoft Defender](/ja-jp/defender/media/go-hunt-3-event.png#lightbox)
関連するイベントに対して Go hunt または Hunt を選択すると、エンティティまたはイベントのどちらを選択したかに応じて、異なるクエリが渡されます。
エンティティ情報のクエリ
go hunt を使用して、ユーザー、デバイス、またはその他の種類のエンティティに関する情報を照会できます。クエリでは、関連するすべてのスキーマ テーブルで、そのエンティティに関連するすべてのイベントがチェックされ、情報が返されます。 結果を管理しやすい状態に保つために、クエリは次のとおりです。
- スコープは、エンティティを含む過去 30 日間の最も早いアクティビティと同じ期間
- インシデントに関連付けられています。
デバイスの go ハント クエリの例を次に示します。
let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100
サポートされているエンティティ型
次のいずれかのエンティティ型を選択した後で 、go hunt オプションを使用できます。
- デバイス
- Email クラスター
- メール
- Files
- グループ
- IP アドレス
- メールボックス
- ユーザー
- URL
イベント情報のクエリ
go hunt を使用してタイムライン イベントに関する情報を照会する場合、クエリでは、選択したイベントの前後に、関連するすべてのスキーマ テーブルで他のイベントがチェックされます。 たとえば、次のクエリは、同じデバイスで同じ期間に発生したさまざまなスキーマ テーブルのイベントを一覧表示します。
// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance
クエリを調整する
クエリ言語に関する知識があれば、クエリを好みに合わせて調整できます。 たとえば、この行を調整すると、時間枠のサイズが決まります。
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
より関連性の高い結果を得るためにクエリを変更するだけでなく、次のことができます。
注:
この記事の一部のテーブルは、Microsoft Defender for Endpointでは使用できない場合があります。 Microsoft Defender XDRをオンにして、より多くのデータ ソースを使用して脅威を探します。 高度なハンティング ワークフローをMicrosoft Defender for EndpointからMicrosoft Defender XDRに移動するには、「高度なハンティング クエリをMicrosoft Defender for Endpointから移行する」の手順に従います。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。