Microsoft Defender ポータルでの高度な捜索

[アーティクル]
04/27/2024
適用対象:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

統合ポータルでの高度なハンティングを使用すると、Microsoft Defender XDRからすべてのデータを表示および照会できます。これには、さまざまな Microsoft セキュリティサービスのデータと、Microsoft 以外の製品からのデータを含む Microsoft Sentinel が 1 つのプラットフォームに含まれます。クエリや関数など、既存のすべての Microsoft Sentinel ワークスペースコンテンツにアクセスして使用することもできます。

異なるデータセット間で 1 つのポータルからクエリを実行すると、ハンティングの効率が高くなり、コンテキスト切り替えが不要になります。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ運用プラットフォームのパブリックプレビューの一部として使用できます。詳細については、Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。

アクセス方法

必要な役割と権限

統合された高度なハンティングページで Microsoft Sentinel とMicrosoft Defender XDRデータをクエリするには、高度なハンティングMicrosoft Defender XDR (「必要なロールとアクセス許可」を参照) と少なくとも Microsoft Sentinel 閲覧者 (「Microsoft Sentinel 固有のロール」を参照) にアクセスできる必要があります。

統合ポータルでは、自分が持っているロールとアクセス許可に基づいて、現在アクセスできる任意のワークロード内のデータに対してクエリを実行できます。

ワークスペースを接続する

Microsoft Defenderでは、上部バナーの [ワークスペースの接続] を選択してワークスペースを接続できます。このボタンは、統合Microsoft Defender ポータルに Microsoft Sentinel ワークスペースをオンボードする資格がある場合に表示されます。「 ワークスペースのオンボード」の手順に従います。

Microsoft Sentinel ワークスペースを接続し、高度なハンティングデータMicrosoft Defender XDRした後、高度なハンティングページから Microsoft Sentinel データのクエリを開始できます。高度なハンティング機能の概要については、「高度なハンティングを使用して脅威を事前に検出する」を参照してください。

Microsoft Sentinel にストリーミングされたDefender XDR テーブルに対する想定内容

クエリでデータ保持期間が長いテーブルを使用する – 高度なハンティングは、Defender XDR テーブルに対して構成された最大データ保持期間に従います (「クォータについて」を参照してください)。 Defender XDRテーブルを Microsoft Sentinel にストリーミングし、そのテーブルのデータ保持期間が 30 日を超える場合は、高度なハンティングで長期間クエリを実行できます。
Microsoft Sentinel で使用した Kusto 演算子を使用 する – 一般に、Microsoft Sentinel からのクエリは、演算子を使用するクエリを含む高度なハンティングで adx() 機能します。クエリ内の演算子がスキーマと一致しないと IntelliSense から警告が表示される場合がありますが、クエリを引き続き実行でき、正常に実行される必要があります。
クエリでタイムスパンを設定するのではなく、時間フィルタードロップダウンを使用します。テーブルをそのままストリーミングするのではなく、Defender XDR テーブルのインジェストを Sentinel にフィルター処理する場合は、クエリの時間をフィルター処理しないでください。これにより不完全な結果が生成される可能性があるためです。クエリで時刻を設定すると、通常はデータ保持期間が長くなるため、Sentinel からストリーミングされたフィルター処理されたデータが使用されます。すべてのDefender XDRデータに対して最大 30 日間クエリを実行する場合は、代わりにクエリエディターに表示される [時間フィルター] ドロップダウンを使用します。
Microsoft Sentinel からストリーミングされたDefender XDR データの表示SourceSystemとMachineGroup列 – 列とMachineGroup列は、Microsoft Sentinel にストリーミングされるとDefender XDRテーブルに追加されるためSourceSystem、Defender での高度なハンティングの結果にも表示されます。ただし、ストリーミングされなかったDefender XDRテーブル (既定の 30 日間のデータ保持期間に従うテーブル) では空白のままです。

注:

Microsoft Sentinel ワークスペースを接続した後に Microsoft Sentinel データを照会できる統合ポータルを使用しても、Microsoft Sentinel でDefender XDRデータに対してクエリを実行できるわけではありません。 Defender XDRの生データインジェストは、これを実現するために Microsoft Sentinel で引き続き構成する必要があります。

Microsoft Sentinel データを検索する場所

高度なハンティング KQL (Kusto 照会言語) クエリを使用して、Microsoft Defender XDRと Microsoft Sentinel のデータを検索できます。

ワークスペースを接続した後に高度なハンティングページを初めて開くと、[スキーマ] タブの下の [Microsoft Defender XDR テーブルの後にソリューション別に整理されたそのワークスペースのテーブルの多くを見つけることができます。

同様に、Microsoft Sentinel の関数は [関数] タブで見つけることができ、Microsoft Sentinel の共有クエリとサンプルクエリは、Sentinel とマークされたフォルダー内の [クエリ] タブにあります。

スキーマ情報を表示する

スキーマテーブルの詳細については、[スキーマ] タブの下にある任意のスキーマテーブル名の右側にある垂直省略記号 ( kebab アイコン ) を選択し、[ スキーマ の表示] を選択します。

統合ポータルでは、スキーマの列名と説明を表示するだけでなく、次の情報も表示できます。

サンプルデータ – 次のような単純なクエリを読み込む [プレビューデータの表示] を選択します TableName | take 5
スキーマの種類 – テーブルが完全なクエリ機能 (高度なテーブル) をサポートしているかどうか (基本ログテーブル)
データ保持期間 – データが保持されるように設定されている期間
タグ – Sentinel データテーブルで使用できます

関数を使用する

Microsoft Sentinel の関数を使用するには、[ 関数 ] タブに移動し、目的の関数が見つかるまでスクロールします。関数名をダブルクリックして、クエリエディターに関数を挿入します。

関数の右側にある垂直省略記号 ( kebab アイコン ) を選択し、[挿入] を選択 してクエリを実行して 、クエリエディターのクエリに関数を挿入することもできます。

他には次のオプションがあります。

詳細の表示 – 詳細を含む関数側ウィンドウが開きます
関数コードの読み込み – 関数コード を含む新しいタブが開きます

編集可能な関数の場合、垂直方向の省略記号を選択すると、さらに多くのオプションが使用できます。

詳細の編集 – 関数の詳細を編集できるように関数側ペインを開きます (Sentinel 関数のフォルダー名を除く)
Delete – 関数を削除します

保存されたクエリを使用する

Microsoft Sentinel から保存されたクエリを使用するには、[ クエリ ] タブに移動し、目的のクエリが見つかるまでスクロールします。クエリ名をダブルクリックして、クエリエディターでクエリを読み込みます。その他のオプションについては、クエリの右側にある垂直省略記号 ( kebab アイコン ) を選択します。ここから、次のアクションを実行できます。

クエリの実行 – クエリエディターでクエリを読み込み、自動的に実行します
クエリエディターで開く - クエリ エディターでクエリを読み込みます
詳細の表示 – クエリの詳細サイドウィンドウが開き、クエリを検査したり、クエリを実行したり、エディターでクエリを開いたりできます。

編集可能なクエリの場合は、その他のオプションを使用できます。

詳細の編集 – クエリの詳細サイドウィンドウが開き、説明 (該当する場合) やクエリ自体などの詳細を編集するオプションが表示されます。Microsoft Sentinel クエリのフォルダー名 (場所) のみを編集できません
削除 – クエリを削除します
名前の変更 – クエリ名を変更できます

カスタム分析と検出ルールのCreate

環境内の脅威や異常な動作を検出するために、カスタム検出ポリシーを作成できます。

接続された Microsoft Sentinel ワークスペースを介して取り込まれたデータに適用される分析ルールの場合は、[ルール>の管理] Create [分析ルール] を選択します。

分析ルールウィザードが表示されます。分析ルールウィザードの [全般] タブで説明されているように、必要な詳細を入力します。

Microsoft Defender XDR データに適用されるカスタム検出ルールの場合は、[カスタム検出Createルール>の管理] を選択します。詳細については、Createを読み、カスタム検出ルールを管理します。

結果を調べる

実行されたクエリの結果は、[ 結果 ] タブに表示されます。結果を CSV ファイルにエクスポートするには、[エクスポート] を選択 します。

次の機能を使用して、結果をインラインで調べることができます。

各結果の左側にあるドロップダウン矢印を選択して結果を展開する
該当する場合は、JSON 形式または配列形式の結果の詳細を展開します。読みやすくするために、該当する結果行の左側にあるドロップダウン矢印を選択します。
サイドウィンドウを開いてレコードの詳細を表示する (展開された行と同時に)

行内の任意の結果値を右クリックして、次の場合に使用することもできます。

既存のクエリにフィルターを追加する
詳細な調査で使用する値をコピーする
クエリを更新して JSON フィールドを新しい列に拡張する

Microsoft Defender XDRデータの場合は、各結果行の左側にあるチェックボックスをオンにして、さらにアクションを実行できます。 [ インシデントにリンク] を 選択して、選択した結果をインシデントにリンクするか (「クエリ結果をインシデントにリンクする」を参照) または アクションを実行 してアクションの実行ウィザードを開きます ( 詳細なハンティングクエリ結果に対するアクションの実行に関するページを参照してください)。

既知の問題

テーブルはIdentityInfo tableDefender XDRのままであるためIdentityInfo、Microsoft Sentinel のは使用できません。このテーブルに対してクエリを実行する分析ルールなどの Microsoft Sentinel 機能は、Log Analytics ワークスペースに直接クエリを実行しているため、影響を受けません。
Microsoft Sentinel SecurityAlert テーブルは、アラートに関するすべてのデータを含むテーブルと AlertEvidence テーブルに置き換えられますAlertInfo。 SecurityAlert は [スキーマ] タブでは使用できませんが、高度なハンティングエディターを使用してクエリで引き続き使用できます。このプロビジョニングは、このテーブルを使用する Microsoft Sentinel からの既存のクエリを中断しないように行われます。
ガイド付きハンティングモードは、Defender XDR データでのみサポートされています。
カスタム検出、インシデントへのリンク、アクションの実行機能は、Defender XDR データに対してのみサポートされます。
高度なハンティングエクスペリエンスでは、ブックマークはサポートされていません。 Microsoft Sentinel > の脅威管理>ハンティング機能でサポートされています。
テーブルDefender XDR Log Analytics にストリーミングする場合は、列と TimeGenerated 列にTimestamp違いがある可能性があります。データが 48 時間後に Log Analytics に到着した場合は、へのインジェスト時に now()オーバーライドされます。そのため、イベントが発生した実際の時刻を取得するには、列に Timestamp 依存することをお勧めします。
高度なハンティングクエリを実行するための Microsoft Graph APIでは、Microsoft Sentinel からのデータのクエリはまだサポートされていません。
高度なハンティングクエリのCopilot for Securityを求めると、現在、すべての Microsoft Sentinel テーブルがサポートされていない場合があります。ただし、将来、これらのテーブルのサポートが期待される場合があります。

Share via