Microsoft 365 Defender の高度な捜索により、脅威を積極的に捜索する

注:

Microsoft 365 Defender を体験してみませんか? Microsoft 365 Defenderを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

適用対象:

  • Microsoft 365 Defender

高度なハンティングは、最大 30 日間の生データを探索できるクエリ ベースの脅威ハンティング ツールです。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限に捜索できます。

高度なハンティングでは、ガイド付きモードと高度モードの 2 つのモードがサポートされています。 Kusto 照会言語 (KQL) にまだ慣れていない場合や、クエリ ビルダーの利便性を優先する場合は、ガイド付きモードを使用します。 KQL を使用してクエリをゼロから作成するのに慣れている場合は 、高度なモード を使用します。

ハンティングを開始するには、「ガイド付きモードと高度なモードを選択して、Microsoft 365 Defenderで狩りを行う」を参照してください

同じ脅威ハンティング クエリを使用して、カスタム検出ルールを構築できます。 これらのルールは自動的に実行され、侵害の疑いのあるアクティビティ、マシンの構成ミス、その他の結果を確認して対応します。

高度なハンティングでは、次のデータ セットからのより広範なデータ セットを確認するクエリがサポートされています。

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

高度なハンティングを使用するには、Microsoft 365 Defenderをオンにします

Microsoft Defender for Cloud Appsデータの高度なハンティングの詳細については、ビデオを参照してください。

アクセス権を取得する

高度なハンティングやその他のMicrosoft 365 Defender機能を使用するには、Azure Active Directory で適切なロールが必要です。 高度なハンティングに必要なロールとアクセス許可について説明します

また、エンドポイント データへのアクセスは、Microsoft Defender for Endpointのロールベースのアクセス制御 (RBAC) 設定によって決まります。 Microsoft 365 Defenderへのアクセスの管理に関する記事を参照してください。

データの鮮度と更新頻度

高度な捜索データは、2 つの異なるタイプに分類され、それぞれが異なる形で集約されます。

  • イベントまたはアクティビティ データ: アラート、セキュリティ イベント、システム イベント、ルーチン評価に関するテーブルを作成します。 高度な捜索は、このデータは、センサーが収集したデータを対応するクラウド サービスに転送した後、ほぼ瞬間的に受け取ります。 たとえば、ワークステーションまたはドメイン コントローラーの正常なセンサーから、Microsoft Defender for EndpointとMicrosoft Defender for Identityで使用可能になった直後にイベント データを照会できます。
  • エンティティ データ - ユーザーとデバイスに関する情報をテーブルに設定します。 このデータは、比較的静的なデータ ソースと、Active Directory エントリやイベント ログなどの動的なソースの両方から取得します。 新しいデータを提供するために、テーブルは 15 分ごとに新しい情報に更新され、十分に作成されていない可能性のある行が追加されます。 24 時間ごとにデータが統合され、各エンティティに関する最新かつ最も包括的なデータ セットを含むレコードが挿入されます。

タイム ゾーン

クエリ

高度なハンティング データでは、UTC (世界時座標) のタイムゾーンが使用されます。 カスタム時間範囲のスクリーンショット。

クエリは UTC で作成する必要があります。

結果

高度なハンティング結果は、Microsoft 365 Defenderで設定されたタイムゾーンに変換されます。