Go hunt を使用してエンティティまたはイベント情報をすばやく検索する

適用対象:

• Microsoft Defender XDR

go hunt アクションを使用すると、強力なクエリ ベースの高度なハンティング機能を使用して、イベントやさまざまなエンティティの種類をすばやく調査できます。 このアクションでは、高度なハンティング クエリが自動的に実行され、選択したイベントまたはエンティティに関する関連情報が検索されます。

go hunt アクションは、Microsoft Defender XDRのさまざまなセクションで使用できます。 このアクションは、イベントまたはエンティティの詳細が表示されたら表示できます。 たとえば、次のセクションの go ハント オプションを使用できます。

• インシデント ページでは、インシデントに関連付けられているユーザー、デバイス、およびその他の多くのエンティティに関する詳細を確認できます。 エンティティを選択すると、追加情報と、そのエンティティに対して実行できるさまざまなアクションが得られます。 次の例では、メールボックスが選択されており、メールボックスの詳細と、メールボックスに関する詳細情報を検索するオプションが表示されています。

  

• インシデント ページでは、[ 証拠 ] タブの下にあるエンティティの一覧にアクセスすることもできます。これらのエンティティのいずれかを選択すると、そのエンティティに関する情報をすばやく検索するためのオプションが提供されます。

  

• デバイスのタイムラインを表示するときに、タイムラインでイベントを選択して、そのイベントに関する追加情報を表示できます。 イベントが選択されると、高度なハンティングで他の関連イベントを検索するオプションが表示されます。

  

関連するイベントに対して Go hunt または Hunt を選択すると、エンティティまたはイベントのどちらを選択したかに応じて、異なるクエリが渡されます。

エンティティ情報のクエリ

go hunt を使用して、ユーザー、デバイス、またはその他の種類のエンティティに関する情報を照会できます。クエリでは、関連するすべてのスキーマ テーブルで、そのエンティティに関連するすべてのイベントがチェックされ、情報が返されます。 結果を管理しやすい状態に保つために、クエリは次のとおりです。

• スコープは、エンティティを含む過去 30 日間の最も早いアクティビティと同じ期間
• インシデントに関連付けられています。

デバイスの go ハント クエリの例を次に示します。

let selectedTimestamp = datetime(2020-06-02T02:06:47.1167157Z);
let deviceName = "fv-az770.example.com";
let deviceId = "device-guid";
search in (DeviceLogonEvents, DeviceProcessEvents, DeviceNetworkEvents, DeviceFileEvents, DeviceRegistryEvents, DeviceImageLoadEvents, DeviceEvents, DeviceImageLoadEvents, IdentityLogonEvents, IdentityQueryEvents)
Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))
and DeviceName == deviceName
// or RemoteDeviceName == deviceName
// or DeviceId == deviceId
| take 100

サポートされているエンティティ型

次のいずれかのエンティティ型を選択した後で 、go hunt オプションを使用できます。

• デバイス
• Email クラスター
• メール
• Files
• グループ
• IP アドレス
• メールボックス
• ユーザー
• URL

イベント情報のクエリ

go hunt を使用してタイムライン イベントに関する情報を照会する場合、クエリでは、選択したイベントの前後に、関連するすべてのスキーマ テーブルで他のイベントがチェックされます。 たとえば、次のクエリは、同じデバイスで同じ期間に発生したさまざまなスキーマ テーブルのイベントを一覧表示します。

// List relevant events 30 minutes before and after selected LogonAttempted event
let selectedEventTimestamp = datetime(2020-06-04T01:29:09.2496688Z);
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
    Timestamp between ((selectedEventTimestamp - 30m) .. (selectedEventTimestamp + 30m))
    and DeviceId == "079ecf9c5798d249128817619606c1c47369eb3e"
| sort by Timestamp desc
| extend Relevance = iff(Timestamp == selectedEventTimestamp, "Selected event", iff(Timestamp < selectedEventTimestamp, "Earlier event", "Later event"))
| project-reorder Relevance

クエリを調整する

クエリ言語に関する知識があれば、クエリを好みに合わせて調整できます。 たとえば、この行を調整すると、時間枠のサイズが決まります。

Timestamp between ((selectedTimestamp - 1h) .. (selectedTimestamp + 1h))

より関連性の高い結果を得るためにクエリを変更するだけでなく、次のことができます。

• 結果をグラフとして表示する
• カスタム検出ルールをCreateする

注:

この記事の一部のテーブルは、Microsoft Defender for Endpointでは使用できない場合があります。 Microsoft Defender XDRをオンにして、より多くのデータ ソースを使用して脅威を探します。 高度なハンティング ワークフローをMicrosoft Defender for EndpointからMicrosoft Defender XDRに移動するには、「高度なハンティング クエリをMicrosoft Defender for Endpointから移行する」の手順に従います。

関連項目

• 高度な追求の概要
• クエリ言語の説明
• クエリ結果を操作する
• カスタム検出ルール

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。