go hunt を使用してエンティティまたはイベント情報をすばやく検索するQuickly hunt for entity or event information with go hunt

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Go Hunt アクションを使用 すると、強力なクエリ ベースの高度なハンティング機能を使用して、イベントやさまざまなエンティティの種類 をすばやく調査 できます。With the go hunt action, you can quickly investigate events and various entity types using powerful query-based advanced hunting capabilities. このアクションでは、選択したイベントまたはエンティティに関する関連情報を検索する高度な検索クエリが自動的に実行されます。This action automatically runs an advanced hunting query to find relevant information about the selected event or entity.

go hunt アクション は、イベントまたはエンティティの詳細が表示されるたびに、セキュリティ センターのさまざまなセクションで使用できます。The go hunt action is available in various sections of the security center whenever event or entity details are displayed. たとえば、次のセクション から go hunt を使用できます。For example, you can use go hunt from the following sections:

  • インシデント ページ では、インシデントに関連付けられているユーザー、デバイス、その他多くのエンティティに関する詳細を確認できます。In the incident page, you can review details about users, devices, and many other entities associated with an incident. エンティティを選択すると、追加の情報と、そのエンティティに対して実行できるさまざまなアクションが表示されます。As you select an entity, you get additional information as well as various actions you could take on that entitity. 次の例では、メールボックスが選択され、メールボックスに関する詳細と、メールボックスの詳細を検索するオプションが表示されます。In the example below, a mailbox is selected, showing details about the mailbox as well the option to hunt for more information about the mailbox.

    移動ハント オプションを使用してメールボックスの詳細を示す画像

  • インシデント ページでは、[証拠] タブの下のエンティティの一覧にアクセスすることもできます。これらのエンティティのいずれかを選択すると、そのエンティティに関する情報をすばやく検索できます。In the incident page, you can also access a list of entities under the evidence tab. Selecting one of those entities provides an option to quickly hunt for information about that entity.

    [証拠] タブの [移動ハント] オプションを使用して選択したファイルを示す画像

  • デバイスのタイムラインを表示する場合は、タイムラインでイベントを選択して、そのイベントに関する追加情報を表示できます。When viewing the timeline for a device, you can select an event in the timeline to view additional information about that event. イベントを選択すると、高度な検索で他の関連イベントを探すオプションが表示されます。Once an event is selected, you get the option to hunt for other relevant events in advanced hunting.

    Go hunt オプションを使用してイベントの詳細を示す画像

関連イベント に対して [Go hunt] または [ハント ] を選択すると、エンティティまたはイベントを選択したかどうかに応じて、さまざまなクエリが渡されます。Selecting Go hunt or Hunt for related events passes different queries, depending on whether you've selected an entity or an event.

エンティティ情報のクエリQuery for entity information

ユーザー、 デバイス、その 他の種類のエンティティに関する情報を検索するために移動ハントを使用する場合、クエリは関連するすべてのスキーマ テーブルで、そのエンティティに関連するすべてのイベントをチェックします。When using go hunt to query for information about a user, device, or any other type of entity, the query checks all relevant schema tables for any events involving that entity. 結果を管理可能に保つために、クエリの対象範囲は、エンティティを含み、インシデントに関連付けられた過去 30 日間の最も早いアクティビティと同じ期間です。To keep the results manageable, the query is scoped to around the same time period as the earliest activity in the past 30 days that involves the entity and is associated with the incident.

デバイスの移動ハント クエリの例を次に示します。Here is an example of the go hunt query for a device:

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

サポートされているエンティティの種類Supported entity types

次のエンティティ の種類を選択 した後で、go hunt を使用できます。You can use go hunt after selecting any of these entity types:

  • ファイルFiles
  • メールEmails
  • 電子メール クラスターEmail clusters
  • メールボックスMailboxes
  • ユーザーUsers
  • デバイスDevices
  • IP アドレスIP addresses
  • URLURLs

イベント情報のクエリQuery for event information

go hunt を使用して タイムライン イベントに関する情報を照会する場合、クエリは、選択したイベントの時刻に関連するすべてのスキーマ テーブルで他のイベントをチェックします。When using go hunt to query for information about a timeline event, the query checks all relevant schema tables for other events around the time of the selected event. たとえば、次のクエリは、同じデバイスで同じ期間に発生したさまざまなスキーマ テーブルのイベントを一覧表示します。For example, the following query lists events in various schema tables that occured around the same time period on the same device:

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

クエリを調整するAdjust the query

クエリ言語に関する知識 がある場合は、クエリを好みに合わせて調整できます。With some knowledge of the query language, you can adjust the query to your preference. たとえば、タイム ウィンドウのサイズを決定する次の行を調整できます。For example, you can adjust this line, which determines the size of the time window:

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

より関連性の高い結果を得るクエリの変更に加えて、次の処理も実行できます。In addition to modifying the query to get more relevant results, you can also: