Microsoft Defender XDRのガイド付きモードを使用してハンティング クエリを構築する

  • [アーティクル]

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

適用対象:

  • Microsoft Defender XDR

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

ガイド付きモードのクエリ ビルダーを使用すると、アナリストは、Kusto 照会言語 (KQL) またはデータ スキーマを知らずに、意味のあるハンティング クエリを作成できます。 あらゆるレベルの経験を持つアナリストは、クエリ ビルダーを使用して過去 30 日間のデータをフィルター処理して、脅威の検索、インシデント調査の拡大、脅威データに対するデータ分析の実行、または特定の脅威領域への集中を行うことができます。

アナリストは、見るデータ セットと、必要なデータを絞り込むために使用するフィルターと条件を選択できます。

このビデオをwatchして、ガイド付きハンティングの概要を確認できます。

ビルダーでクエリを開く

[ 高度なハンティング ] ページで、[ 新規作成 ] を選択して新しいクエリ タブを開き、[ ビルダーでクエリ] を選択します。

ガイド付きモードのクエリ ビルダーのスクリーンショット

これにより、ガイド付きモードに変わり、ドロップダウン メニューを使用してさまざまなコンポーネントを選択してクエリを作成できます。

検索するデータ ドメインを指定する

クエリで対象となるドメインを選択することで、ハントのスコープを制御できます。

ガイド付きモードのクエリ ビルダー ドメインのドロップダウンのスクリーンショット

[ すべて ] を選択すると、現在アクセスできるすべてのドメインのデータが含まれます。 特定のドメインに絞り込むには、そのドメインにのみ関連するフィルターを使用できます。

次の項目から選択できます。

  • すべてのドメイン - クエリで使用可能なすべてのデータを確認する
  • エンドポイント - Microsoft Defender for Endpointによって提供されるエンドポイント データを調Microsoft Defender for Endpoint
  • アプリと ID - Microsoft Defender for Cloud AppsとMicrosoft Defender for Identityによって提供されるアプリケーションと ID のデータを調べるには、アクティビティ ログに精通しているユーザーは、ここで同じデータを見つけることができます
  • Emailとコラボレーション - SharePoint、OneDrive などのメールアプリやコラボレーション アプリデータを調べるには、Threat エクスプローラーに精通しているユーザーが同じデータをここで見つけることができます

基本フィルターを使用する

既定では、ガイド付きハンティングには、迅速に開始するためのいくつかの基本的なフィルターが含まれています。

ガイド付きモード クエリ ビルダーの基本フィルター セットのスクリーンショット

エンドポイントなど、1 つのデータ ソースを選択すると、クエリ ビルダーには該当するフィルター グループのみが表示されます。 その後、絞り込むフィルターを選択するには、そのフィルター グループ ( EventType など) を選択し、任意のフィルターを選択します。

ガイド付きモードのクエリ ビルダー エンドポイントの基本フィルター セットのスクリーンショット

クエリの準備ができたら、青色の [ クエリの実行 ] ボタンを選択します。 ボタンが灰色表示されている場合は、クエリをさらに入力または編集する必要があります。

注:

基本的なフィルター ビューでは AND 演算子のみが使用されます。つまり、クエリを実行すると、すべてのセット フィルターが true である結果が生成されます。

サンプル クエリを読み込む

ガイド付きハンティングに慣れるもう 1 つの簡単な方法は、[サンプル クエリの読み込み] ドロップダウン メニューを使用して サンプル クエリを読み込 む方法です。 ガイド付きモードのクエリ ビルダーの読み込みサンプル クエリの一覧のスクリーンショット

注:

サンプル クエリを選択すると、既存のクエリがオーバーライドされます。

サンプル クエリが読み込まれたら、[ クエリの実行] を選択します。

ガイド付きモードのクエリ ビルダーの読み込みクエリのスクリーンショット

ドメインを以前に選択した場合は、使用可能なサンプル クエリの一覧がそれに応じて変更されます。

ガイド付きモード クエリ ビルダーの制限付きリストのスクリーンショット

サンプル クエリの完全な一覧を復元するには、[ すべてのドメイン ] を選択し、[ サンプル クエリの読み込み] を再度開きます。

読み込まれたサンプル クエリで基本フィルター セットの外部でフィルターが使用されている場合、トグル ボタンは淡色表示されます。基本フィルター セットに戻るには、[ すべてクリア ] を選択し、[ すべてのフィルター] を切り替えます。

その他のフィルターを使用する

フィルター グループと条件をさらに表示するには、[ 切り替え] を選択して、その他のフィルターと条件を表示します。

ガイド付きモードのクエリ ビルダーの追加フィルタートグルのスクリーンショット

[すべてのフィルター] トグルがアクティブな場合、ガイド付きモードでフィルターと条件の全範囲を使用できるようになりました。

すべてのフィルターがアクティブなガイド モード クエリ ビルダーのスクリーンショット

条件を作成する

クエリで使用するデータのセットを指定するには、[フィルターの選択] を 選択します。 さまざまなフィルター セクションを調べて、利用できる内容を見つけます。

使用できるさまざまなフィルターを示すスクリーンショット

リストの上部にある検索ボックスにセクションのタイトルを入力して、フィルターを見つけます。 情報で終わるセクションには、見ることができるさまざまなコンポーネントに関する情報を提供するフィルターと、エンティティの状態のフィルターが含まれます。 イベントで終わるセクションには、エンティティで監視対象のイベントを検索できるフィルターが含まれています。 たとえば、特定のデバイスに関連するアクティビティを検索するには、[ デバイス イベント ] セクションの下のフィルターを使用できます。

注:

基本フィルター リストにないフィルターを選択すると、トグルが非アクティブ化または灰色表示され、基本フィルター ビューに戻ります。 クエリをリセットするか、現在のクエリ内の既存のフィルターを削除するには、[ すべてクリア] を選択します。 これにより、基本フィルターの一覧も再アクティブ化されます。

次に、適切な条件を設定して、2 番目のドロップダウン メニューからデータを選択し、必要に応じて 3 番目のドロップダウン メニューにエントリを指定して、データをさらにフィルター処理します。

使用できるさまざまな条件を示すスクリーンショット

AND 条件と OR 条件を使用して、クエリにさらに条件を追加できます。 AND はクエリ内のすべての条件を満たす結果を返し、OR はクエリ内のいずれかの条件を満たす結果を返します。

AND OR 演算子を示すスクリーンショット

クエリを調整すると、大量のレコードを自動的に絞り込んで、特定の脅威ハンティングのニーズを既に対象としている結果の一覧を生成できます。

クエリの微調整に役立つ、サポートされているデータ型とその他のガイド付きモード機能については、「 ガイド付きモードでのクエリの絞り込み」を参照してください。

サンプル クエリのチュートリアルを試す

ガイド付きハンティングに慣れるもう 1 つの方法は、ガイド付きモードで事前に作成されたサンプル クエリを読み込む方法です。

ハンティング ページの [ 作業の開始 ] セクションで、読み込み可能なガイド付きクエリの例を 3 つ用意しました。 クエリの例には、ハンティングで通常必要となる最も一般的なフィルターと入力がいくつか含まれています。 3 つのサンプル クエリのいずれかを読み込むと、ガイド付きモードを使用してエントリを構築する方法のガイド付きツアーが開きます。

ガイド付きモードのクエリ ビルダーの概要クエリ チュートリアルのスクリーンショット

青色の教育バブルの指示に従って、クエリを作成します。 [クエリの実行] を選択します。

いくつかのクエリを試す

特定の IP への正常な接続を検索する

特定の IP アドレスへのネットワーク通信を成功させるには、"ip" と入力して推奨されるフィルターを取得します。

特定の IP ファースト フィルターへの接続が成功した場合のガイド モード クエリ ビルダーの検索のスクリーンショット

IP が通信の宛先である特定の IP アドレスに関連するイベントを探すには、[IP アドレス イベント] セクションでを選択 DestinationIPAddress します。 次に、 equals 演算子を 選択します。 3 番目のドロップダウン メニューに IP を入力し、 Enter キーを押します。

特定の IP への接続が成功した場合のガイド モード クエリ ビルダーの検索のスクリーンショット

次に、成功したネットワーク通信イベントを検索する 2 つ目の条件を追加するには、特定のイベントの種類のフィルターを検索します。

特定の IP、2 番目の条件への接続が成功した場合のガイド モード クエリ ビルダーの検索のスクリーンショット

EventType フィルターは、ログに記録されたさまざまなイベントの種類を検索します。 これは、高度なハンティングのほとんどのテーブルに存在する ActionType 列と同じです。 フィルター対象の 1 つ以上のイベントの種類を選択する場合に選択します。 成功したネットワーク通信イベントを探すには、[ DeviceNetworkEvents ] セクションを展開し、 を選択 ConnectionSuccessします。

特定の IP 3 番目の条件への接続が成功した場合のガイド モード クエリ ビルダーの検索のスクリーンショット

最後に、[ クエリの実行 ] を選択して、52.168.117.170 IP アドレスへの正常なネットワーク通信をすべて検索します。

特定の IP 結果ビューへの接続が成功した場合のガイド 付きモード クエリ ビルダーの検索のスクリーンショット

受信トレイに配信される信頼度の高いフィッシングメールまたはスパムメールを検索する

配信時に受信トレイ フォルダーに配信されたすべての信頼度の高いフィッシングメールとスパム メールを探すには、最初に [Email イベント] で [ConfidenceLevel] を選択し、[等しい] を選択し、複数選択をサポートする推奨されるクローズド リストから [フィッシング] と [スパム] の両方で [高] を選択します。

ガイド付きモードのクエリ ビルダーが信頼度の高いフィッシングメールまたはスパム メールを受信トレイに配信した最初の条件を検出するスクリーンショット

次に、フォルダーまたは DeliveryLocation、Inbox/folder を指定する別の条件を追加します。

ガイド付きモードのクエリ ビルダーが信頼度の高いフィッシングメールまたはスパム メールを受信トレイに配信した 2 番目の条件を検出するスクリーンショット

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします