Microsoft Defender for Endpoint から高度なハンティング クエリを移行するMigrate advanced hunting queries from Microsoft Defender for Endpoint

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

高度なハンティング ワークフローを Microsoft Defender for Endpoint から移動して、より広範なデータセットを使用して脅威を積極的に検出します。Move your advanced hunting workflows from Microsoft Defender for Endpoint to proactively hunt for threats using a broader set of data. Microsoft 365 Defender では、次を含む他の Microsoft 365 セキュリティ ソリューションからデータにアクセスできます。In Microsoft 365 Defender, you get access to data from other Microsoft 365 security solutions, including:

  • Microsoft Defender for EndpointMicrosoft Defender for Endpoint
  • Microsoft Defender for Office 365Microsoft Defender for Office 365
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Defender for IdentityMicrosoft Defender for Identity

注意

ほとんどの Microsoft Defender for Endpoint のお客様は、追加のライセンスなしで Microsoft 365 Defender を使用できますMost Microsoft Defender for Endpoint customers can use Microsoft 365 Defender without additional licenses. Defender for Endpoint から高度なハンティング ワークフローの移行を開始するには 、Microsoft 365 Defender をオンにしてくださいTo start transitioning your advanced hunting workflows from Defender for Endpoint, turn on Microsoft 365 Defender.

既存の Defender for Endpoint ワークフローに影響を与えることなく移行できます。You can transition without affecting your existing Defender for Endpoint workflows. 保存されたクエリはそのまま残り、カスタム検出ルールは引き続き実行され、アラートが生成されます。Saved queries remain intact, and custom detection rules continue to run and generate alerts. ただし、Microsoft 365 Defender に表示されます。They will, however, be visible in Microsoft 365 Defender.

Microsoft 365 Defender のスキーマ テーブルのみSchema tables in Microsoft 365 Defender only

Microsoft 365 Defender の高度なハンティング スキーマには、さまざまな Microsoft 365 セキュリティ ソリューションのデータを含む追加のテーブルが含まれています。The Microsoft 365 Defender advanced hunting schema provides additional tables containing data from various Microsoft 365 security solutions. 次の表は、Microsoft 365 Defender でのみ使用できます。The following tables are available only in Microsoft 365 Defender:

テーブル名Table name 説明Description
AlertEvidenceAlertEvidence アラートに関連付けられたファイル、IP アドレス、URL、ユーザー、またはデバイスFiles, IP addresses, URLs, users, or devices associated with alerts
AlertInfoAlertInfo Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Cloud App Security、Microsoft Defender for Identity からのアラート (重大度情報と脅威カテゴリを含む)Alerts from Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity, including severity information and threat categories
AppFileEventsAppFileEvents クラウド アプリとサービスでのファイル関連のアクティビティFile-related activities in cloud apps and services
EmailAttachmentInfoEmailAttachmentInfo メールに添付されているファイルに関する情報Information about files attached to emails
EmailEventsEmailEvents Microsoft 365 の電子メール イベント (メール配信イベントやブロック イベントを含む)Microsoft 365 email events, including email delivery and blocking events
EmailPostDeliveryEventsEmailPostDeliveryEvents Microsoft 365 が受信者メールボックスにメールを配信した後に配信後に発生するセキュリティ イベントSecurity events that occur post-delivery, after Microsoft 365 has delivered the emails to the recipient mailbox
EmailUrlInfoEmailUrlInfo メールの URL に関する情報Information about URLs on emails
IdentityDirectoryEventsIdentityDirectoryEvents Active Directory を実行しているオンプレミスのドメイン コントローラーに関連するイベント (AD)。Events involving an on-premises domain controller running Active Directory (AD). 次の表では、ドメイン コントローラー上の ID 関連イベントとシステム イベントの範囲について説明します。This table covers a range of identity-related events and system events on the domain controller.
IdentityInfoIdentityInfo Azure Active Directory を含むさまざまなソースからのアカウント情報Account information from various sources, including Azure Active Directory
IdentityLogonEventsIdentityLogonEvents Active Directory および Microsoft オンライン サービスでの認証イベントAuthentication events on Active Directory and Microsoft online services
IdentityQueryEventsIdentityQueryEvents ユーザー、グループ、デバイス、ドメインなどの Active Directory オブジェクトのクエリQueries for Active Directory objects, such as users, groups, devices, and domains

重要

Microsoft 365 Defender でのみ使用できるスキーマ テーブルを使用するクエリとカスタム検出は、Microsoft 365 Defender でのみ表示できます。Queries and custom detections which use schema tables that are only available in Microsoft 365 Defender can only be viewed in Microsoft 365 Defender.

DeviceAlertEvents テーブルのマップMap DeviceAlertEvents table

テーブル AlertInfoAlertEvidence テーブルは DeviceAlertEvents 、Microsoft Defender for Endpoint スキーマのテーブルを置き換える。The AlertInfo and AlertEvidence tables replace the DeviceAlertEvents table in the Microsoft Defender for Endpoint schema. デバイス通知に関するデータに加えて、これら 2 つのテーブルには、ID、アプリ、および電子メールのアラートに関するデータが含まれます。In addition to data about device alerts, these two tables include data about alerts for identities, apps, and emails.

次の表を使用して、列 DeviceAlertEvents が列とテーブルの列にマップされる方法 AlertInfo を確認 AlertEvidence します。Use the following table to check how DeviceAlertEvents columns map to columns in the AlertInfo and AlertEvidence tables.

ヒント

次の表の列に加えて、さまざまなソースからのアラートの全体的な画像を提供する他の多くの列 AlertEvidence も含まれています。In addition to the columns in the following table, the AlertEvidence table includes many other columns that provide a more holistic picture of alerts from various sources. すべての AlertEvidence 列を表示するSee all AlertEvidence columns

DeviceAlertEvents 列DeviceAlertEvents column Microsoft 365 Defender で同じデータを見つける場所Where to find the same data in Microsoft 365 Defender
AlertId AlertInfo テーブル AlertEvidence とテーブルAlertInfo and AlertEvidence tables
Timestamp AlertInfo テーブル AlertEvidence とテーブルAlertInfo and AlertEvidence tables
DeviceId AlertEvidence tableAlertEvidence table
DeviceName AlertEvidence tableAlertEvidence table
Severity AlertInfo tableAlertInfo table
Category AlertInfo tableAlertInfo table
Title AlertInfo tableAlertInfo table
FileName AlertEvidence tableAlertEvidence table
SHA1 AlertEvidence tableAlertEvidence table
RemoteUrl AlertEvidence tableAlertEvidence table
RemoteIP AlertEvidence tableAlertEvidence table
AttackTechniques AlertInfo tableAlertInfo table
ReportId この列は、通常、Microsoft Defender for Endpoint で他のテーブル内の関連レコードを検索するために使用されます。This column is typically used in Microsoft Defender for Endpoint to locate related records in other tables. Microsoft 365 Defender では、関連するデータをテーブルから直接取得 AlertEvidence できます。In Microsoft 365 Defender, you can get related data directly from the AlertEvidence table.
Table この列は、通常、Microsoft Defender for Endpoint で他のテーブルの追加イベント情報として使用されます。This column is typically used in Microsoft Defender for Endpoint for additional event information in other tables. Microsoft 365 Defender では、関連するデータをテーブルから直接取得 AlertEvidence できます。In Microsoft 365 Defender, you can get related data directly from the AlertEvidence table.

既存の Microsoft Defender for Endpoint クエリを調整するAdjust existing Microsoft Defender for Endpoint queries

Microsoft Defender for Endpoint クエリは、テーブルを参照しない限り、現在通り動作 DeviceAlertEvents します。Microsoft Defender for Endpoint queries will work as-is unless they reference the DeviceAlertEvents table. Microsoft 365 Defender でこれらのクエリを使用するには、次の変更を適用します。To use these queries in Microsoft 365 Defender, apply these changes:

  • DeviceAlertEvents 置き換える AlertInfoReplace DeviceAlertEvents with AlertInfo.
  • テーブルとテーブル AlertInfoAlertEvidence 結合して AlertId 同等のデータを取得します。Join the AlertInfo and the AlertEvidence tables on AlertId to get equivalent data.

元のクエリOriginal query

次のクエリは DeviceAlertEvents 、Microsoft Defender for Endpoint で使用して、エンドポイントに関連するアラートをpowershell.exe。The following query uses DeviceAlertEvents in Microsoft Defender for Endpoint to get the alerts that involve powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

変更されたクエリModified query

次のクエリは、Microsoft 365 Defender での使用に合わせて調整されています。The following query has been adjusted for use in Microsoft 365 Defender. ファイル名を直接からチェックする代わりに、そのテーブル内のファイル名を結合 DeviceAlertEvents AlertEvidence してチェックします。Instead of checking the file name directly from DeviceAlertEvents, it joins AlertEvidence and checks for the file name in that table.

AlertInfo 
| where Timestamp > ago(7d) 
| where AttackTechniques has "PowerShell (T1086)" 
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

カスタム検出ルールの移行Migrate custom detection rules

Microsoft Defender for Endpoint ルールが Microsoft 365 Defender で編集されている場合、結果のクエリでデバイス テーブルのみを参照する場合、以前と同様に機能し続ける。When Microsoft Defender for Endpoint rules are edited on Microsoft 365 Defender, they continue to function as before if the resulting query looks at device tables only.

たとえば、デバイス テーブルのみをクエリするカスタム検出ルールによって生成されたアラートは、Microsoft Defender for Endpoint での構成方法に応じて、引き続き SIEM に配信され、電子メール通知を生成します。For example, alerts generated by custom detection rules that query only device tables will continue to be delivered to your SIEM and generate email notifications, depending on how you’ve configured these in Microsoft Defender for Endpoint. Defender for Endpoint の既存の抑制ルールも引き続き適用されます。Any existing suppression rules in Defender for Endpoint will also continue to apply.

Defender for Endpoint ルールを編集して、Microsoft 365 Defender でのみ使用できる ID テーブルと電子メール テーブルを照会すると、そのルールは自動的に Microsoft 365 Defender に移動されます。Once you edit a Defender for Endpoint rule so that it queries identity and email tables, which are only available in Microsoft 365 Defender, the rule is automatically moved to Microsoft 365 Defender.

移行されたルールによって生成されるアラート:Alerts generated by the migrated rule:

  • Defender for Endpoint ポータルに表示されなくなりました (Microsoft Defender セキュリティ センター)Are no longer visible in the Defender for Endpoint portal (Microsoft Defender Security Center)
  • SIEM への配信を停止するか、電子メール通知を生成します。Stop being delivered to your SIEM or generate email notifications. この変更を回避するには、Microsoft 365 Defender を使用して通知を構成して、アラートを取得します。To work around this change, configure notifications through Microsoft 365 Defender to get the alerts. Microsoft 365 Defender API を使用して、顧客検出アラートまたは関連インシデントに関する通知を受信できます。You can use the Microsoft 365 Defender API to receive notifications for customer detection alerts or related incidents.
  • Microsoft Defender for Endpoint 抑制ルールでは抑制されません。Won't be suppressed by Microsoft Defender for Endpoint suppression rules. 特定のユーザー、デバイス、またはメールボックスに対してアラートが生成されるのを防ぐために、対応するクエリを変更して、それらのエンティティを明示的に除外します。To prevent alerts from being generated for certain users, devices, or mailboxes, modify the corresponding queries to exclude those entities explicitly.

この方法でルールを編集すると、そのような変更が適用される前に確認を求めるメッセージが表示されます。If you edit a rule this way, you will be prompted for confirmation before such changes are applied.

Microsoft 365 Defender ポータルのカスタム検出ルールによって生成された新しいアラートは、次の情報を提供するアラート ページに表示されます。New alerts generated by custom detection rules in Microsoft 365 Defender portal are displayed in an alert page that provides the following information:

  • アラートのタイトルと説明Alert title and description
  • 影響を受け取ったアセットImpacted assets
  • アラートに応答して実行されるアクションActions taken in response to the alert
  • アラートをトリガーしたクエリ結果Query results that triggered the alert
  • カスタム検出ルールに関する情報Information on the custom detection rule

新しいアラート ページのイメージ

DeviceAlertEvents を使用せずにクエリを書き込むWrite queries without DeviceAlertEvents

Microsoft 365 Defender スキーマでは、さまざまなソースからのアラートに付随する多様な情報セットに対応するために、テーブル AlertInfo AlertEvidence とテーブルが提供されます。In the Microsoft 365 Defender schema, the AlertInfo and AlertEvidence tables are provided to accommodate the diverse set of information that accompany alerts from various sources.

Microsoft Defender for Endpoint スキーマのテーブルから取得したのと同じアラート情報を取得するには、テーブルをフィルター処理し、各一意 DeviceAlertEvents AlertInfoServiceSource ID AlertEvidence をテーブルに結合して、詳細なイベントとエンティティ情報を提供します。To get the same alert information that you used to get from the DeviceAlertEvents table in the Microsoft Defender for Endpoint schema, filter the AlertInfo table by ServiceSource and then join each unique ID with the AlertEvidence table, which provides detailed event and entity information.

以下のサンプル クエリを参照してください。See the sample query below:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

このクエリは、Microsoft Defender for Endpoint スキーマよりも DeviceAlertEvents 多くの列を生成します。This query yields many more columns than DeviceAlertEvents in the Microsoft Defender for Endpoint schema. 結果を管理し続けるには、関心 project のある列のみを取得します。To keep results manageable, use project to get only the columns you are interested in. 次の例では、調査で PowerShell アクティビティが検出された場合に関心のある列をプロジェクトします。The example below projects columns you might be interested in when the investigation detected PowerShell activity:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine 

アラートに関連する特定のエンティティをフィルター処理する場合は、エンティティの種類とフィルター処理する値を指定します EntityTypeIf you'd like to filter for specific entities involved in the alerts, you can do so by specifying the entity type in EntityType and the value you would like to filter for. 次の例では、特定の IP アドレスを検索します。The following example looks for a specific IP address:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId 
| where EntityType == "Ip" and RemoteIP == "192.88.99.01" 

関連項目See also