Microsoft 365 Defender で高度な狩猟を行って脅威を積極的に探すProactively hunt for threats with advanced hunting in Microsoft 365 Defender

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Microsoft 365 Defender を体験してみませんか?Want to experience Microsoft 365 Defender? ラボ環境で評価することも、実稼働環境でパイロット プロジェクトを実行することもできます。You can evaluate it in a lab environment or run your pilot project in production.

高度な捜索は、クエリ ベースの脅威の捜索ツールで、最大 30 日間のロー データを検索できます。Advanced hunting is a query-based threat-hunting tool that lets you explore up to 30 days of raw data. ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを特定できます。You can proactively inspect events in your network to locate threat indicators and entities. データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方に対する拘束されていない検出が可能です。The flexible access to data enables unconstrained hunting for both known and potential threats.

同じ脅威を捜索しているクエリを使用して、カスタムの検出ルールを作成できます。You can use the same threat-hunting queries to build custom detection rules. これらのルールは自動的に実行され、侵害の疑いのあるアクティビティ、正しく構成されていないコンピューター、その他の結果を確認し、それに対応します。These rules run automatically to check for and then respond to suspected breach activity, misconfigured machines, and other findings.

この機能は 、Microsoft Defender for Endpoint の高度な検索に似ていますThis capability is similar to advanced hunting in Microsoft Defender for Endpoint. Microsoft 365 セキュリティ センターで使用できるこの機能は、以下のより広範なデータ セットをチェックするクエリをサポートします。Available in Microsoft 365 security center, this capability supports queries that check a broader data set from:

  • Microsoft Defender for EndpointMicrosoft Defender for Endpoint
  • Microsoft Defender for Office 365Microsoft Defender for Office 365
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft Defender for IdentityMicrosoft Defender for Identity

高度な検索を使用するには 、Microsoft 365 Defender をオンにしてくださいTo use advanced hunting, turn on Microsoft 365 Defender.

高度な捜索を開始するGet started with advanced hunting

高度な検索をすぐに開始するには、いくつかの手順を実行することをお勧めします。We recommend going through several steps to quickly get started with advanced hunting.

学習目標Learning goal 説明Description リソースResource
言語を学ぶLearn the language 高度な検索は 、同じ構文と演算子をサポートする Kusto クエリ言語に基づいて行います。Advanced hunting is based on Kusto query language, supporting the same syntax and operators. 最初のクエリを実行して、クエリ言語を学習します。Start learning the query language by running your first query. クエリ言語の概要Query language overview
クエリ結果を使用する方法についてLearn how to use the query results グラフと、結果を表示またはエクスポートするさまざまな方法について学習します。Learn about charts and various ways you can view or export your results. クエリをすばやく調整し、詳細な情報を取得するためにドリルダウンし、応答アクションを実行する方法について説明します。Explore how you can quickly tweak queries, drill down to get richer information, and take response actions. - クエリ結果の処理- Work with query results
- クエリ結果に対してアクションを実行する- Take action on query results
スキーマを理解するUnderstand the schema スキーマとその列のテーブルについて、高レベルで十分に理解してください。Get a good, high-level understanding of the tables in the schema and their columns. クエリを作成するときにデータを検索する場所について説明します。Learn where to look for data when constructing your queries. - スキーマ参照- Schema reference
- Microsoft Defender for Endpoint からの移行- Transition from Microsoft Defender for Endpoint
エキスパートのヒントと例を取得するGet expert tips and examples Microsoft の専門家からのガイドを使用して無料でトレーニングします。Train for free with guides from Microsoft experts. さまざまな脅威の捜索シナリオを網羅する定義済みクエリのコレクションを調べます。Explore collections of predefined queries covering different threat hunting scenarios. - 専門家のトレーニングを受け取る- Get expert training
- 共有クエリの使用- Use shared queries
- Go hunt- Go hunt
- デバイス、電子メール、アプリ、および ID 間の脅威を検出する- Hunt for threats across devices, emails, apps, and identities
クエリを最適化し、エラーを処理するOptimize queries and handle errors 効率的でエラーフリーのクエリを作成する方法を理解します。Understand how to create efficient and error-free queries. - クエリのベスト プラクティス- Query best practices
- エラーの処理- Handle errors
検出ルールの作成Create custom detection rules 高度な検索クエリを使用してアラートをトリガーし、応答アクションを自動的に実行する方法について説明します。Understand how you can use advanced hunting queries to trigger alerts and take response actions automatically. - カスタム検出の概要- Custom detections overview
- カスタム検出ルール- Custom detection rules

アクセス権の取得Get access

高度なハンティングまたは他の Microsoft 365 Defender 機能を使用するには、Azure Active Directory で適切な役割が必要です。To use advanced hunting or other Microsoft 365 Defender capabilities, you need an appropriate role in Azure Active Directory. 高度な検索に必要な役割とアクセス許可についてお読みくださいRead about required roles and permissions for advanced hunting.

また、エンドポイント データへのアクセスは、Microsoft Defender for Endpoint の役割ベースのアクセス制御 (RBAC) 設定によって決まります。Also, your access to endpoint data is determined by role-based access control (RBAC) settings in Microsoft Defender for Endpoint. Microsoft 365 Defender へのアクセスの管理について説明しますRead about managing access to Microsoft 365 Defender.

データの鮮度と更新頻度Data freshness and update frequency

高度な狩猟データは、それぞれ異なる方法で統合された 2 つの異なる種類に分類できます。Advanced hunting data can be categorized into two distinct types, each consolidated differently.

  • イベントまたはアクティビティ データ— アラート、セキュリティ イベント、システム イベント、および定期的な評価に関するテーブルを設定します。Event or activity data—populates tables about alerts, security events, system events, and routine assessments. 高度な検出は、センサーを収集したセンサーが対応するクラウド サービスに正常に送信した直後に、このデータを受信します。Advanced hunting receives this data almost immediately after the sensors that collect them successfully transmit them to the corresponding cloud services. たとえば、ワークステーションまたはドメイン コントローラー上の正常なセンサーのイベント データは、Microsoft Defender for Endpoint および Microsoft Defender for Identity で使用できる直後にクエリを実行できます。For example, you can query event data from healthy sensors on workstations or domain controllers almost immediately after they are available on Microsoft Defender for Endpoint and Microsoft Defender for Identity.
  • エンティティ データ— ユーザーとデバイスに関する情報を表に設定します。Entity data—populates tables with information about users and devices. このデータは、比較的静的なデータ ソースと、Active Directory エントリやイベント ログなどの動的ソースの両方から取得されます。This data comes from both relatively static data sources and dynamic sources, such as Active Directory entries and event logs. 新しいデータを提供するために、テーブルは 15 分ごとに新しい情報で更新され、完全に入力されない可能性のある行が追加されます。To provide fresh data, tables are updated with any new information every 15 minutes, adding rows that might not be fully populated. 24 時間ごとにデータが統合され、各エンティティに関する最新の最も包括的なデータ セットを含むレコードが挿入されます。Every 24 hours, data is consolidated to insert a record that contains the latest, most comprehensive data set about each entity.

タイム ゾーンTime zone

高度な検索の時間情報は、UTC タイム ゾーンにあります。Time information in advanced hunting is in the UTC time zone.