高度なハンティングを探索する
高度なハンティングはクエリベースの脅威ハンティング ツールで、最大 30 日間分の生データを探索できます。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限にハンティングできます。
同じ脅威捜索クエリを使って、カスタムの検出規則を構築できます。 侵害の疑いのあるアクティビティ、構成が不適切なマシン、その他の検出結果を確認し、それに対応するために、これらの規則は自動的に実行されます。 高度な捜索機能は、次のより広範なデータセットを確認するクエリをサポートしています。
Microsoft Defender for Endpoint
Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Identity
高度なハンティングを使用するには、Microsoft Defender XDR を有効にします。
データの鮮度と更新の頻度
高度なハンティング データは、それぞれが別の方法で統合される異なる 2 つの種類に分類できます。
イベントまたはアクティビティ データ: アラート、セキュリティ イベント、システム イベント、および定期的な評価に関するテーブルを作成します。 高度な捜索を使うと、データを正常に収集したセンサーによってデータが対応するクラウド サービスに正常に送信されたほぼ直後にデータを受信できます。 たとえば、ワークステーションまたはドメイン コントローラー上の正常なセンサーのイベント データは、Microsoft Defender for Endpoint や Microsoft Defender for Identity 上で使用可能になったほぼ直後に、クエリを実行できます。
エンティティ データ - ユーザーとデバイスに関する情報をテーブルに追加します。 このデータは、Active Directory のエントリおよびイベント ログといった、比較的静的なデータソースと動的なソースの両方から取得されます。 新しいデータを提供するために、テーブルは 15 分ごとに新しい情報で更新され、追加される行には完全に値が設定されていない場合もあります。 24 時間ごとにデータが統合され、各エンティティに関する最新の最も包括的なデータセットを含むレコードが挿入されます。
タイム ゾーン
高度な捜索の時間情報は UTC ゾーンです。
データ スキーマ
高度な捜索スキーマは、イベント情報、またはデバイス、アラート、ID、その他のエンティティの種類に関する情報を提供する複数のテーブルで構成されています。 複数のテーブルにまたがるクエリを効果的に構築するには、高度な捜索スキーマのテーブルと列を理解する必要があります。
スキーマ情報を取得する
クエリを構築する際には、組み込みのスキーマ参照を使って、スキーマ内の各テーブルに関する次の情報をすばやく取得します。
テーブルの説明 - テーブルに含まれるデータの種類と、そのデータのソース。
列 - テーブル内のすべての列。
アクションの種類 - テーブルがサポートするイベントの種類を表す ActionType 列で使用できる値。 この情報は、イベント情報を含むテーブルにのみ提供されます。
サンプル クエリ - そのテーブルの利用方法を示すサンプル クエリ。
スキーマ参照にアクセスする
スキーマ参照にすばやくアクセスするには、スキーマ表現のテーブル名の横にある [参照の表示] アクションを選びます。 また、[スキーマ参照] を選んでテーブルを検索することもできます。
スキーマ テーブルについて学習する
次の参照先は、スキーマ内のすべてのテーブルの一覧です。 各テーブル名は、そのテーブルの列名を説明するページにリンクしています。 テーブルと列の名前は、セキュリティ センターの高度な捜索画面のスキーマ表現の一部としても表示されます。
| テーブル名 | 説明 |
|---|---|
| AlertEvidence | アラートに関連付けられているファイル、IP アドレス、URL、ユーザー、またはデバイス |
| AlertInfo | Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Cloud App Security、および Microsoft Defender for Identity (重大度情報や脅威の分類を含む) に対するアラート |
| CloudAppEvents | Office 365 や他のクラウド アプリおよびサービス内のアカウントとオブジェクトに関係するイベント |
| DeviceEvents | Windows Defender ウイルス対策や Exploit Protection などのセキュリティ制御によってトリガーされるイベントを含む、複数のイベントの種類 |
| DeviceFileCertificateInfo | エンドポイントで証明書の検証イベントから取得された署名付きファイルの証明書情報 |
| DeviceFileEvents | ファイルの作成、変更、およびその他のファイル システム イベント |
| DeviceImageLoadEvents | DLL 読み込みイベント |
| DeviceInfo | コンピューター情報 (OS 情報を含む) |
| DeviceLogonEvents | デバイスでのサインインとその他の認証イベント |
| DeviceNetworkEvents | ネットワーク接続と関連イベント |
| DeviceNetworkInfo | 物理アダプター、IP および MAC アドレス、接続されているネットワークとドメインを含む、デバイスのネットワーク プロパティ |
| DeviceProcessEvents | プロセスの作成と関連イベント |
| DeviceRegistryEvents | レジストリ エントリの作成と変更 |
| DeviceTvmSecureConfigurationAssessment | デバイス上のさまざまなセキュリティ構成の状態を示す、脅威および脆弱性管理評価イベント |
| DeviceTvmSecureConfigurationAssessmentKB | デバイスを評価するための脅威および脆弱性管理によって使用されるさまざまなセキュリティ構成のナレッジ ベース。さまざまな標準およびベンチマークへのマッピングが含まれます |
| DeviceTvmSoftwareInventory | デバイスにインストールされているソフトウェアのインベントリ (バージョン情報やサポート終了の状態を含む) |
| DeviceTvmSoftwareVulnerabilities | デバイスで見つかったソフトウェアの脆弱性と、各脆弱性に対処する利用可能なセキュリティ更新プログラムの一覧 |
| DeviceTvmSoftwareVulnerabilitiesKB | 悪用コードが一般公開されているかどうかを含む、公開済みの脆弱性のナレッジ ベース |
| EmailAttachmentInfo | 電子メールに添付されているファイルに関する情報 |
| EmailEvents | Microsoft 365 メール イベント (メール配信とブロックのイベントを含む) |
| EmailPostDeliveryEvents | 配信後、つまり、Microsoft 365 によって電子メールが受信者のメールボックスに配信された後に発生するセキュリティ イベント |
| EmailUrlInfo | 電子メールの URL に関する情報 |
| IdentityDirectoryEvents | Active Directory (AD) を実行しているオンプレミスのドメイン コントローラーに関連するイベント。 この表には、ドメイン コントローラー上のさまざまな ID 関連イベントとシステム イベントが記載されています。 |
| IdentityInfo | Microsoft Entra ID など、さまざまなソースからのアカウント情報 |
| IdentityLogonEvents | Active Directory と Microsoft オンライン サービス上の認証イベント |
| IdentityQueryEvents | ユーザー、グループ、デバイス、ドメインなどの Active Directory オブジェクトのクエリ |
カスタム検出
カスタム検出を使用すると、侵害の疑いのあるアクティビティや構成が不適切なエンドポイントなど、さまざまなイベントやシステム状態を事前に監視し、それらに対応することができます。 これは、アラートと応答アクションを自動的にトリガーするカスタマイズ可能な検出規則によって実行できます。
カスタム検出は、高度なハンティング機能を備えています。これは、ネットワークから広範なイベントとシステム情報を網羅する強力で柔軟なクエリ言語を提供します。 それらを定期的に実行し、アラートを生成し、一致するものがある場合は応答アクションを実行するように設定できます。
カスタム検出は、次のものを提供します。
高度なハンティング クエリから作成されたルールベースの検出のアラート
ファイルとデバイスに適用される自動応答アクション
検出ルールの作成
検出ルールを作成するには:
"1.クエリを準備します。
Microsoft Defender セキュリティ センターで、[高度なハンティング] にアクセスし、既存のクエリを選択するか、新しいクエリを作成します。 新しいクエリを使用する場合は、クエリを実行してエラーを特定し、考えられる結果を理解します。
重要
サービスが返すアラートの数が多すぎるのを防ぐために、各ルールは、実行するたびに 100 個のアラートのみを生成するように制限されています。 ルールを作成する前に、通常の日常業務に対するアラートが発生しないようにクエリを調整します。
カスタム検出ルールに対してクエリを使用するには、クエリで次の列を返す必要があります。
Timestamp
deviceId
ReportId
結果をカスタマイズまたは集計するためにプロジェクトや集計演算子を使用しないなどの単純なクエリでは、通常はこれらの共通の列が返されます。
より複雑なクエリによってこれらの列が返されるようにするには、さまざまな方法があります。 たとえば、DeviceId で集計してカウントする場合でも、各デバイスに関連する最新のイベントから Timestamp と ReportId を取得して返すことができます。
次のサンプル クエリでは、ウイルス検出のある一意のデバイス (DeviceId) の数をカウントし、それを使用して、検出が 5 つを超えるデバイスのみを検出します。 最新のタイムスタンプとそれに対応する ReportId を返すには、集計演算子と arg_max 関数を使用します。
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
"2.新しいルールを作成し、アラートの詳細を指定します。
クエリ エディターのクエリを使用して、[Create detection rule](検出ルールの作成) を選択し、次のアラートの詳細を指定します。
検出名—検出ルールの名前
頻度—クエリを実行してアクションを実行する間隔。 下の追加のガイダンスを参照してください。
アラートのタイトル: ルールによってトリガーされるアラートとともに表示されるタイトル
重大度—ルールによって識別されるコンポーネントまたはアクティビティの潜在的なリスク。
カテゴリ—脅威コンポーネントまたはアクティビティの種類 (存在する場合)。
MITRE ATT&CK 手法 — MITRE ATT&CK のフレームワークに記載されているように、ルールによって識別される 1 つ以上の攻撃手法。 このセクションは、マルウェア、ランサムウェア、疑わしいアクティビティ、望ましくないソフトウェアなど、特定のアラート カテゴリでは使用できません。
説明—ルールによって識別されるコンポーネントまたはアクティビティに関する詳細情報
推奨されるアクション—アラートへの応答として応答側が実行する可能性のある追加のアクション
3. ルールの頻度
保存すると、新しいカスタム検出ルールが直ちに実行され、過去 30 日間のデータと一致するかどうかがチェックされます。 次に、ルールは選択した頻度に基づいて、一定の間隔およびルックバック期間で再実行されます。
24 時間ごと — 24 時間ごとに実行され、過去 30 日間のデータをチェックします
12 時間ごと — 12 時間ごとに実行され、過去 48 時間のデータをチェックします
3 時間ごと — 3 時間ごとに実行され、過去 12 時間のデータをチェックします
1 時間ごと — 1 時間ごとに実行され、過去 4 時間のデータをチェックします
継続的 (NRT) - 継続手に実行され、凖リアルタイム (NRT) で収集および処理されるイベントのデータをチェックします
検出をどの程度詳しく監視するかに合わせて頻度を選択し、アラートに対する組織の能力を考慮してください。
Note
カスタム検出を連続的 (NRT) 頻度で実行するように設定すると、脅威をより迅速に特定する組織の能力を高めることができます。
4. 影響を受けるエンティティを選びます。
クエリ結果内で、影響を受ける主なエンティティが見つかることが期待される列を特定します。 たとえば、クエリによってデバイスとユーザーの両方の ID が返される場合があります。 これらの列のどちらが影響を受ける主なエンティティとなるかを特定することで、関連するアラートの集計、インシデントの関連付け、および応答アクションのターゲット指定をサービスで行うのに役立ちます。
エンティティの種類ごとに 1 つの列のみを選択できます。 クエリによって返されない列を選択することはできません。
5. アクションを指定します。
カスタム検出ルールを使用すると、クエリによって返されるファイルまたはデバイスに対して自動的にアクションを実行できます。
デバイスでのアクション
これらのアクションは、クエリ結果の DeviceId 列にあるデバイスに適用されます。
デバイスの分離—完全なネットワーク分離を適用し、デバイスが Defender for Endpoint サービスを除くいずれかのアプリケーションやサービスに接続するのを防ぎます。
調査パッケージの収集—デバイス情報を ZIP ファイルに収集します。
ウイルス対策スキャンの実行—デバイスで Microsoft Defender ウイルス対策のフルスキャンを実行します。
調査の開始—デバイスの自動調査を開始します。
ファイルに対するアクション
これらのアクションは、クエリ結果の SHA1 または InitiatingProcessSHA1 列のファイルに適用されます。
許可/ブロック—カスタム インジケーターの一覧にファイルを自動的に追加して、常に実行を許可するか実行をブロックするかを指定します。 このアクションのスコープを設定して、選択したデバイス グループでのみ実行されるようにすることができます。 このスコープは、ルールのスコープとは無関係です。
検疫ファイル—現在の場所からファイルを削除し、検疫にコピーを配置します。
6. ルールのスコープを設定します。
ルールの対象となるデバイスを指定するスコープを設定します。
すべてのデバイス
特定のデバイス グループ
スコープ内のデバイスからのデータのみが照会されます。 また、アクションはこれらのデバイスでのみ実行されます。
7. ルールを確認し、有効にします。
ルールを確認した後、[作成] を選択して保存します。 カスタム検出ルールがすぐに実行されます。 構成済みの頻度に基づいて再実行され、一致がないかチェックし、アラートを生成し、応答アクションを実行します。