カスタム検出ルールを作成および管理するCreate and manage custom detections rules

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

カスタム検出ルールは、高度な検索クエリを使用して設計および 調整できるルール です。Custom detection rules are rules you can design and tweak using advanced hunting queries. これらのルールを使用すると、侵害の疑いのあるアクティビティや誤った構成されたエンドポイントなど、さまざまなイベントやシステム状態を積極的に監視できます。These rules let you proactively monitor various events and system states, including suspected breach activity and misconfigured endpoints. 一定の間隔で実行し、アラートを生成し、一致するたびに応答アクションを実行する設定できます。You can set them to run at regular intervals, generating alerts and taking response actions whenever there are matches.

カスタム検出を管理するために必要なアクセス許可Required permissions for managing custom detections

カスタム検出を管理するには、次のいずれかの役割を割り当てる必要があります。To manage custom detections, you need to be assigned one of these roles:

  • セキュリティ管理者:この Azure Active Directory ロールを持つユーザーは、Microsoft 365 セキュリティ センターおよび他のポータルおよびサービスのセキュリティ設定を管理できます。Security administrator—Users with this Azure Active Directory role can manage security settings in Microsoft 365 security center and other portals and services.

  • セキュリティ オペレーター:この Azure Active Directory ロールを持つユーザーは、アラートを管理し、Microsoft 365 セキュリティ センターのすべての情報を含む、セキュリティ関連の機能へのグローバルな読み取り専用アクセス権を持つ。Security operator—Users with this Azure Active Directory role can manage alerts and have global read-only access to security-related features, including all information in Microsoft 365 security center. この役割は、Microsoft Defender for Endpoint で役割ベースのアクセス制御 (RBAC) がオフになっている場合にのみ、カスタム検出を管理するのに十分です。This role is sufficient for managing custom detections only if role-based access control (RBAC) is turned off in Microsoft Defender for Endpoint. RBAC が構成されている場合は、Defender for Endpoint のセキュリティ設定の管理アクセス許可も必要です。If you have RBAC configured, you also need the manage security settings permission for Defender for Endpoint.

必要なアクセス許可を管理するには、グローバル 管理者は次の機能を使用 できます。To manage required permissions, a global administrator can:

  • [役割の セキュリティ管理者] の 下にある Microsoft 365 管理センターでセキュリティ管理者またはセキュリティオペレーター の役割 > を割り当てますAssign the security administrator or security operator role in Microsoft 365 admin center under Roles > Security admin.
  • Microsoft Defender セキュリティ センターの [設定のアクセス許可の役割] で 、Microsoft Defender for Endpoint の RBAC > 設定を確認 > しますCheck RBAC settings for Microsoft Defender for Endpoint in Microsoft Defender Security Center under Settings > Permissions > Roles. 対応する役割を選択して、セキュリティ設定の 管理権限を割り当 てる。Select the corresponding role to assign the manage security settings permission.

注意

カスタム検出を管理 するには、RBAC が有効になっている場合、セキュリティオペレーターは Microsoft Defender for Endpoint のセキュリティ設定の管理権限を必要とします。To manage custom detections, security operators will need the manage security settings permission in Microsoft Defender for Endpoint if RBAC is turned on.

カスタム検出ルールの作成Create a custom detection rule

1. クエリを準備します。1. Prepare the query.

Microsoft 365 セキュリティ センターで、[高度な検索] に 移動し、 既存のクエリを選択するか、新しいクエリを作成します。In Microsoft 365 security center, go to Advanced hunting and select an existing query or create a new query. 新しいクエリを使用する場合は、クエリを実行してエラーを特定し、考えられる結果を理解します。When using a new query, run the query to identify errors and understand possible results.

重要

サービスがあまりにも多くのアラートを返さなすぎ防止するために、各ルールは、実行されるたびに 100 件のアラートのみを生成するに制限されます。To prevent the service from returning too many alerts, each rule is limited to generating only 100 alerts whenever it runs. ルールを作成する前に、クエリを調整して、通常の毎日のアクティビティに対する警告を回避してください。Before creating a rule, tweak your query to avoid alerting for normal, day-to-day activity.

クエリ結果に必要な列Required columns in the query results

カスタム検出ルールを作成するには、次の列を返す必要があります。To create a custom detection rule, the query must return the following columns:

  • Timestamp生成されたアラートのタイムスタンプを設定するために使用されるTimestamp—used to set the timestamp for generated alerts
  • ReportId—元のレコードの参照を有効にするReportId—enables lookups for the original records
  • 特定のデバイス、ユーザー、またはメールボックスを識別する次のいずれかの列。One of the following columns that identify specific devices, users, or mailboxes:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (封筒の送信者またはReturn-Pathアドレス)SenderFromAddress (envelope sender or Return-Path address)
    • SenderMailFromAddress (電子メール クライアントによって表示される送信者アドレス)SenderMailFromAddress (sender address displayed by email client)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

注意

新しいテーブルが高度な狩猟スキーマに追加されるに応じて、追加のエンティティ のサポートが追加されますSupport for additional entities will be added as new tables are added to the advanced hunting schema.

単純なクエリ (結果をカスタマイズまたは集計するために or 演算子を使用しないクエリなど) は、通常、これらの一般的な project summarize 列を返します。Simple queries, such as those that don't use the project or summarize operator to customize or aggregate results, typically return these common columns.

より複雑なクエリがこれらの列を返すには、さまざまな方法があります。There are various ways to ensure more complex queries return these columns. たとえば、次のような列の下のエンティティ別に集計してカウントする場合でも、各一意のイベントを含む最新のイベントから取得 DeviceId Timestamp ReportId できます DeviceIdFor example, if you prefer to aggregate and count by entity under a column such as DeviceId, you can still return Timestamp and ReportId by getting it from the most recent event involving each unique DeviceId.

以下のサンプル クエリは、ウイルス対策の検出を含む一意のデバイス ( ) の数をカウントし、この数を使用して 5 つを超える検出を持つデバイス DeviceId のみを検索します。The sample query below counts the number of unique devices (DeviceId) with antivirus detections and uses this count to find only the devices with more than five detections. 最新の値と Timestamp 対応する値を取得 ReportId するには、関数と summarize 一緒に演算子を使用 arg_max します。To return the latest Timestamp and the corresponding ReportId, it uses the summarize operator with the arg_max function.

DeviceEvents
| where Timestamp > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

ヒント

クエリのパフォーマンスを向上するには、ルールの目的の実行頻度に一致する時間フィルターを設定します。For better query performance, set a time filter that matches your intended run frequency for the rule. 実行頻度が最も少ないのは 24 時間ごとに行われるので、過去 1 日のフィルター処理では、すべての新しいデータがカバーされます。Since the least frequent run is every 24 hours, filtering for the past day will cover all new data.

2. 新しいルールを作成し、アラートの詳細を提供します。2. Create new rule and provide alert details.

クエリ エディターでクエリを使用して、[検出ルールの作成] を選択し 、次のアラートの詳細を指定します。With the query in the query editor, select Create detection rule and specify the following alert details:

  • 検出名—検出ルールの名前Detection name—name of the detection rule
  • 頻度—クエリを実行してアクションを実行する間隔。Frequency—interval for running the query and taking action. 以下のその他のガイダンスを参照してください。See additional guidance below
  • アラート タイトル- ルールによってトリガーされたアラートで表示されるタイトルAlert title—title displayed with alerts triggered by the rule
  • 重大度—ルールによって識別されるコンポーネントまたはアクティビティの潜在的なリスクSeverity—potential risk of the component or activity identified by the rule
  • Category—ルールによって識別される脅威コンポーネントまたはアクティビティCategory—threat component or activity identified by the rule
  • MITRE ATT&CK の手法 (CK フレームワークの MITRE ATTに記載されているルールによって識別される 1 つ以上の攻撃&です。MITRE ATT&CK techniques—one or more attack techniques identified by the rule as documented in the MITRE ATT&CK framework. このセクションは、マルウェア、ランサムウェア、疑わしいアクティビティ、望ましくないソフトウェアなど、特定のアラート カテゴリでは非表示になっています。This section is hidden for certain alert categories, including malware, ransomware, suspicious activity, and unwanted software
  • Description—ルールによって識別されるコンポーネントまたはアクティビティの詳細Description—more information about the component or activity identified by the rule
  • 推奨されるアクション—応答者がアラートに応答して実行する可能性がある追加のアクションRecommended actions—additional actions that responders might take in response to an alert

ルールの頻度Rule frequency

新しいルールを保存すると、過去 30 日間のデータの一致が実行され、チェックされます。When you save a new rule, it runs and checks for matches from the past 30 days of data. その後、ルールは一定の間隔で再び実行され、選択した頻度に基づいてルックバック期間が適用されます。The rule then runs again at fixed intervals, applying a lookback duration based on the frequency you choose:

  • 24 時間ごとに 実行され、過去 30 日間のデータを確認します。Every 24 hours—runs every 24 hours, checking data from the past 30 days
  • 12 時間ごとに 実行され、過去 24 時間のデータを確認します。Every 12 hours—runs every 12 hours, checking data from the past 24 hours
  • 3 時間ごとに 実行され、過去 6 時間のデータを確認します。Every 3 hours—runs every 3 hours, checking data from the past 6 hours
  • 1 時間 ごとに 1 時間ごとに実行され、過去 2 時間のデータを確認します。Every hour—runs hourly, checking data from the past 2 hours

ルールを編集すると、設定した頻度に従ってスケジュールされた次の実行時に適用された変更と一緒に実行されます。When you edit a rule, it will run with the applied changes in the next run time scheduled according to the frequency you set.

ヒント

クエリのタイム フィルターとルックバック期間を一致します。Match the time filters in your query with the lookback duration. ルックバック期間外の結果は無視されます。Results outside of the lookback duration are ignored.

検出を監視する頻度に一致する頻度を選択します。Select the frequency that matches how closely you want to monitor detections. 通知に応答する組織の容量を検討します。Consider your organization's capacity to respond to the alerts.

3. 影響を受け取ったエンティティを選択します。3. Choose the impacted entities.

影響を受ける主なエンティティまたは影響を受けるエンティティを検索するクエリ結果の列を特定します。Identify the columns in your query results where you expect to find the main affected or impacted entity. たとえば、クエリが送信者 (または) アドレスと受信者 SenderFromAddress SenderMailFromAddress ( ) アドレスを RecipientEmailAddress 返す場合があります。For example, a query might return sender (SenderFromAddress or SenderMailFromAddress) and recipient (RecipientEmailAddress) addresses. これらの列の中で、影響を受ける主なエンティティを表す列を特定すると、サービスは関連するアラートの集計、インシデントの関連付け、およびターゲット応答アクションの集計に役立ちます。Identifying which of these columns represent the main impacted entity helps the service aggregate relevant alerts, correlate incidents, and target response actions.

エンティティの種類 (メールボックス、ユーザー、またはデバイス) ごとに 1 つの列のみを選択できます。You can select only one column for each entity type (mailbox, user, or device). クエリによって返されない列は選択できません。Columns that are not returned by your query can't be selected.

4. アクションを指定します。4. Specify actions.

カスタム検出ルールは、クエリによって返されるデバイス、ファイル、またはユーザーに対して自動的にアクションを実行できます。Your custom detection rule can automatically take actions on devices, files, or users that are returned by the query.

デバイスでのアクションActions on devices

これらのアクションは、クエリ結果の列 DeviceId のデバイスに適用されます。These actions are applied to devices in the DeviceId column of the query results:

ファイルに対するアクションActions on files

選択すると、クエリ結果の 、または列のファイルに対して [ファイルの検疫] SHA1 InitiatingProcessSHA1 SHA256 InitiatingProcessSHA256 アクションを適用できます。When selected, you can choose to apply the Quarantine file action on files in the SHA1, InitiatingProcessSHA1, SHA256, or InitiatingProcessSHA256 column of the query results. このアクションでは、ファイルを現在の場所から削除し、コピーを検疫に入れる。This action deletes the file from its current location and places a copy in quarantine.

ユーザーに対するアクションActions on users

選択すると、クエリ結果の 、、 または列のユーザーに対してユーザーに対して [侵害されたユーザーとしてマーク] AccountObjectId InitiatingProcessAccountObjectId RecipientObjectId アクションが実行されます。When selected, the Mark user as compromised action is taken on users in the AccountObjectId, InitiatingProcessAccountObjectId, or RecipientObjectId column of the query results. このアクションは、Azure Active Directory でユーザーのリスク レベルを "高" に設定し、対応する ID 保護 ポリシーをトリガーしますThis action sets the users risk level to "high" in Azure Active Directory, triggering corresponding identity protection policies.

注意

カスタム検出ルールの許可またはブロックアクションは、Microsoft 365 Defender では現在サポートされていません。The allow or block action for custom detection rules is currently not supported on Microsoft 365 Defender.

5. ルールスコープを設定します。5. Set the rule scope.

スコープを設定して、ルールの対象となるデバイスを指定します。Set the scope to specify which devices are covered by the rule. このスコープは、デバイスをチェックするルールに影響を与え、メールボックスとユーザー アカウントまたは ID のみをチェックするルールには影響を与えます。The scope influences rules that check devices and doesn't affect rules that check only mailboxes and user accounts or identities.

スコープを設定する場合は、次の項目を選択できます。When setting the scope, you can select:

  • すべてのデバイスAll devices
  • 特定のデバイス グループSpecific device groups

スコープ内のデバイスからのデータだけがクエリされます。Only data from devices in scope will be queried. また、これらのデバイスでのみアクションが実行されます。Also, actions will be taken only on those devices.

6. ルールを確認して有効にする。6. Review and turn on the rule.

ルールを確認した後、[作成] を選択して 保存します。After reviewing the rule, select Create to save it. カスタム検出ルールが直ちに実行されます。The custom detection rule immediately runs. 構成された頻度に基づいて再び実行され、一致を確認し、アラートを生成し、応答アクションを実行します。It runs again based on configured frequency to check for matches, generate alerts, and take response actions.

重要

カスタム検出は、効率と有効性を定期的に確認する必要があります。Custom detections should be regularly reviewed for efficiency and effectiveness. 真のアラートをトリガーする検出を作成するには、「既存のカスタム検出ルールの管理」の手順に従って、既存のカスタム検出を確認する時間 を取ってくださいTo make sure you are creating detections that trigger true alerts, take time to review your existing custom detections by following the steps in Manage existing custom detection rules.

カスタム検出の広さまたは特定性を制御し、カスタム検出によって生成された誤った通知がルールの特定のパラメーターを変更する必要を示す場合があります。You maintain control over the broadness or specificity of your custom detections so any false alerts generated by custom detections might indicate a need to modify certain parameters of the rules.

既存のカスタム検出ルールの管理Manage existing custom detection rules

既存のカスタム検出ルールの一覧を表示し、以前の実行を確認し、トリガーしたアラートを確認できます。You can view the list of existing custom detection rules, check their previous runs, and review the alerts they have triggered. 必要に応じてルールを実行して変更できます。You can also run a rule on demand and modify it.

既存のルールの表示View existing rules

既存のすべてのカスタム検出ルールを表示するには、[ハンティングカスタム検出 > ] に移動しますTo view all existing custom detection rules, navigate to Hunting > Custom detections. ページには、次の実行情報を含むすべてのルールが一覧表示されます。The page lists all the rules with the following run information:

  • Last run—クエリの一致を確認し、アラートを生成するルールが最後に実行された場合Last run—when a rule was last run to check for query matches and generate alerts
  • 最終実行の状態:ルールが正常に実行されたかどうかLast run status—whether a rule ran successfully
  • 次の実行— 次のスケジュールされた実行Next run—the next scheduled run
  • Status—ルールが有効または無効になっているかどうかStatus—whether a rule has been turned on or off

ルールの詳細の表示、ルールの変更、およびルールの実行View rule details, modify rule, and run rule

カスタム検出ルールに関する包括的な情報を表示するには、[ハンティング カスタム検出] に移動し、ルールの > 名前を選択します。To view comprehensive information about a custom detection rule, go to Hunting > Custom detections and then select the name of rule. その後、ルールの実行状態とスコープに関する情報を含む、ルールに関する一般的な情報を表示できます。You can then view general information about the rule, including information its run status and scope. このページには、トリガーされたアラートとアクションの一覧も表示されます。The page also provides the list of triggered alerts and actions.

カスタム検出ルールの詳細ページCustom detection rule details page
カスタム検出ルールの詳細Custom detection rule details

また、このページからルールに対して次のアクションを実行することもできます。You can also take the following actions on the rule from this page:

  • Run—ルールを直ちに実行します。Run—run the rule immediately. これにより、次の実行の間隔もリセットされます。This also resets the interval for the next run.
  • Edit—クエリを変更せずにルールを変更するEdit—modify the rule without changing the query
  • クエリの変更—高度な検索でクエリを編集するModify query—edit the query in advanced hunting
  • 有効にする / 無効にする-ルールを有効にするか、ルールの実行を停止するTurn on / Turn off—enable the rule or stop it from running
  • Delete—ルールをオフにし、削除するDelete—turn off the rule and remove it

トリガーされたアラートの表示と管理View and manage triggered alerts

ルールの詳細画面 (ハンティング カスタム検出 [ルール名]) で、[トリガーされたアラート] に移動し、ルールに一致して生成されたアラート > > を一覧表示します。 In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered alerts, which lists the alerts generated by matches to the rule. アラートを選択して、アラートに関する詳細情報を表示し、次のアクションを実行します。Select an alert to view detailed information about it and take the following actions:

  • 状態と分類を設定してアラートを管理する (true または false アラート)Manage the alert by setting its status and classification (true or false alert)
  • アラートをインシデントにリンクするLink the alert to an incident
  • 高度な検索でアラートをトリガーしたクエリを実行するRun the query that triggered the alert on advanced hunting

アクションを確認するReview actions

ルールの詳細画面 (ハンティング カスタム検出 [ルール名]) で、[トリガーされたアクション] に移動し、ルールとの一致に基づいて実行されるアクションを > > 一覧表示します。 In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered actions, which lists the actions taken based on matches to the rule.

ヒント

テーブル内のアイテムに関する情報をすばやく表示し、アクションを実行するには、表の左側にある [✓] の選択列を使用します。To quickly view information and take action on an item in a table, use the selection column [✓] at the left of the table.

関連項目See also