カスタム検出ルールを作成するCreate custom detection rules

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

高度な検索クエリから作成されたカスタム検出ルールを使用すると、侵害されている可能性のあるアクティビティや不適切なデバイスなど、さまざまなイベントやシステム状態を事前に監視できます。Custom detection rules built from advanced hunting queries let you proactively monitor various events and system states, including suspected breach activity and misconfigured devices. 定期的に実行されるように設定し、一致するものがあるたびに警告を生成し、応答操作を受け取ることができます。You can set them to run at regular intervals, generating alerts and taking response actions whenever there are matches.

この記事では、新しいカスタム検出ルールを作成する方法について説明します。Read this article to learn how to create new custom detection rules. または、 「既存のルールの表示と管理」をご覧くださいOr see viewing and managing existing rules.

注意

ユーザー設定の検出を作成または管理するには、ロールにセキュリティ設定の管理権限が必要です。To create or manage custom detections, your role needs to have the manage security settings permission.

1. クエリを準備します。1. Prepare the query.

Microsoft Defender セキュリティセンターで、 [高度な 検索] に移動し、既存のクエリを選択するか、新しいクエリを作成します。In Microsoft Defender Security Center, go to Advanced hunting and select an existing query or create a new query. 新しいクエリを使用する場合は、クエリを実行してエラーを特定し、考えられる結果を確認します。When using a new query, run the query to identify errors and understand possible results.

重要

サービスによって通知が多すぎないようにするために、各ルールは、実行時に100通知のみを生成するように制限されます。To prevent the service from returning too many alerts, each rule is limited to generating only 100 alerts whenever it runs. ルールを作成する前に、通常の毎日のアクティビティについてのアラートを回避するために、クエリを微調整します。Before creating a rule, tweak your query to avoid alerting for normal, day-to-day activity.

クエリの結果に必要な列Required columns in the query results

クエリを使用してカスタム検出ルールを作成するには、クエリで次の列を返す必要があります。To use a query for a custom detection rule, the query must return the following columns:

  • Timestamp
  • DeviceId
  • ReportId

project検索結果をカスタマイズまたは集計するために or 演算子を使用しないなど、単純なクエリの場合、 summarize 通常、これらの一般的な列を返します。Simple queries, such as those that don't use the project or summarize operator to customize or aggregate results, typically return these common columns.

より複雑なクエリがこれらの列を返すように、さまざまな方法があります。There are various ways to ensure more complex queries return these columns. たとえば、での集計とカウントを行う場合は DeviceIdTimestamp ReportId 各デバイスに関連する最新のイベントから返すことができます。For example, if you prefer to aggregate and count by DeviceId, you can still return Timestamp and ReportId by getting them from the most recent event involving each device.

以下のサンプルクエリは、ウイルス検出による一意のデバイスの数をカウント DeviceId します。これを使って、5回以上の検出を行っているデバイスのみを検索します。The sample query below counts the number of unique devices (DeviceId) with antivirus detections and uses this to find only those devices with more than five detections. 最新の値と対応する関数を返すには、 Timestamp ReportId 演算子を使用し summarize arg_max ます。To return the latest Timestamp and the corresponding ReportId, it uses the summarize operator with the arg_max function.

DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

ヒント

クエリのパフォーマンスを向上させるには、ルールの実行頻度と一致する時間フィルターを設定します。For better query performance, set a time filter that matches your intended run frequency for the rule. 頻度の最も低い実行は24時間ごとに行われるため、過去1日のフィルター処理ではすべての新しいデータが扱われます。Since the least frequent run is every 24 hours, filtering for the past day will cover all new data.

2. 新しいルールを作成し、通知の詳細を入力します。2. Create a new rule and provide alert details.

クエリエディターでクエリを選び、[ 検出ルールの作成 ] を選択して、次の通知の詳細を指定します。With the query in the query editor, select Create detection rule and specify the following alert details:

  • [検出名: 検出ルールの名前Detection name—name of the detection rule
  • 頻度: クエリの実行とアクションの実行の間隔。Frequency—interval for running the query and taking action. 以下の追加のガイダンスを参照してくださいSee additional guidance below
  • [通知のタイトル-ルールによってトリガーされた通知のタイトルを表示します。Alert title—title displayed with alerts triggered by the rule
  • 深刻度: ルールによって特定されたコンポーネントまたはアクティビティの潜在的なリスク。Severity—potential risk of the component or activity identified by the rule. アラートの重要度を確認するRead about alert severities
  • カテゴリ—脅威コンポーネントまたはアクティビティ (存在する場合) の種類。Category—type of threat component or activity, if any. 通知カテゴリについて確認するRead about alert categories
  • MITRE att&・・・・・・・・・・ MITRE att&・・皿のフレームワークに記載されている規則に従って特定された1つ以上の攻撃の手法。MITRE ATT&CK techniques—one or more attack techniques identified by the rule as documented in the MITRE ATT&CK framework. このセクションは、マルウェア、ランサムウェア、疑わしいアクティビティ、望ましくないソフトウェアなどの特定の通知カテゴリでは使用できません。This section is not available with certain alert categories, such as malware, ransomware, suspicious activity, and unwanted software
  • 説明—ルールによって識別されたコンポーネントまたはアクティビティに関する詳細情報Description—more information about the component or activity identified by the rule
  • 推奨される操作—応答者が通知に応答する可能性のあるその他のアクションRecommended actions—additional actions that responders might take in response to an alert

アラートの詳細の表示方法の詳細については、「 通知キューについて」を参照してください。For more information about how alert details are displayed, read about the alert queue.

ルールの頻度Rule frequency

保存されると、新しいカスタム検出ルールが直ちに実行され、過去30日間のデータと一致するかどうかがチェックされます。When saved, a new custom detection rule immediately runs and checks for matches from the past 30 days of data. 次に、ルールは固定された間隔でもう一度実行され、選択した頻度に基づいて戻りの期間が表示されます。The rule then runs again at fixed intervals and lookback durations based on the frequency you choose:

  • 24 時間ごと: 過去30日間のデータを確認して24時間ごとに実行されます。Every 24 hours—runs every 24 hours, checking data from the past 30 days
  • 12 時間ごと: 過去24時間以内にデータをチェックし、12時間ごとに実行されます。Every 12 hours—runs every 12 hours, checking data from the past 24 hours
  • 3 時間ごと: 3 時間ごとに実行され、過去6時間のデータがチェックされます。Every 3 hours—runs every 3 hours, checking data from the past 6 hours
  • 1 時間ごとに実行され、過去2時間のデータを確認します。Every hour—runs hourly, checking data from the past 2 hours

ヒント

クエリで使用されている時間フィルターと "戻る" の継続時間を一致させる。Match the time filters in your query with the lookback duration. "いいね!" の戻り期間以外の結果は無視されます。Results outside of the lookback duration are ignored.

検出を監視するための十分な頻度と、通知に応答するための組織の能力を考慮します。Select the frequency that matches how closely you want to monitor detections, and consider your organization's capacity to respond to the alerts.

3. 影響を受けるエンティティを選択します。3. Choose the impacted entities.

影響を受ける主要なエンティティまたは影響を受ける主要なエンティティを見つけるために、クエリ結果内の列を特定します。Identify the columns in your query results where you expect to find the main affected or impacted entity. たとえば、クエリはデバイスとユーザー Id の両方を返す可能性があります。For example, a query might return both device and user IDs. 影響を受ける主な要素を特定することにより、サービスが関連する警告の集計、インシデントの関連付け、およびターゲットへの応答アクションを行うことができます。Identifying which of these columns represent the main impacted entity helps the service aggregate relevant alerts, correlate incidents, and target response actions.

各エンティティの種類に対して選択できる列は1つだけです。You can select only one column for each entity type. クエリで返されない列を選択することはできません。Columns that are not returned by your query can't be selected.

4. アクションを指定します。4. Specify actions.

カスタム検出ルールは、クエリによって返されるファイルまたはデバイスに対して自動的に操作を実行します。Your custom detection rule can automatically take actions on files or devices that are returned by the query.

デバイスでの操作Actions on devices

これらのアクションは DeviceId 、クエリ結果の列のデバイスに適用されます。These actions are applied to devices in the DeviceId column of the query results:

ファイルに対する操作Actions on files

これらのアクションは、 SHA1 クエリ結果の列または列のファイルに適用され InitiatingProcessSHA1 ます。These actions are applied to files in the SHA1 or the InitiatingProcessSHA1 column of the query results:

  • 許可/禁止—自動的に ユーザー設定のインジケーターリスト にファイルが追加されるので、常に実行したりブロックしたりすることができます。Allow/Block—automatically adds the file to your custom indicator list so that it is always allowed to run or blocked from running. このアクションの範囲を設定して、選択したデバイスグループでのみ実行されるようにすることができます。You can set the scope of this action so that it is taken only on selected device groups. このスコープは、ルールのスコープに依存しません。This scope is independent of the scope of the rule.
  • [ファイルの検疫] —現在の場所からファイルを削除し、検疫にコピーを配置します。Quarantine file—deletes the file from its current location and places a copy in quarantine

5. ルールのスコープを設定します。5. Set the rule scope.

ルールによってカバーされるデバイスを指定するように、スコープを設定します。Set the scope to specify which devices are covered by the rule:

  • すべてのデバイスAll devices
  • 特定のデバイスグループSpecific device groups

スコープ内のデバイスからのデータのみが照会されます。Only data from devices in scope will be queried. また、アクションはこれらのデバイスでのみ実行されます。Also, actions will be taken only on those devices.

6. ルールを確認して有効にします。6. Review and turn on the rule.

ルールを確認した後、[ 作成 ] を選択して保存します。After reviewing the rule, select Create to save it. カスタム検出ルールは直ちに実行されます。The custom detection rule immediately runs. これは、構成された頻度に基づいて、一致を確認し、通知を生成し、応答アクションを実行するために再実行されます。It runs again based on configured frequency to check for matches, generate alerts, and take response actions.

カスタム検出ルールの表示と管理、以前の実行の確認、トリガーされた通知の確認を行うことができます。You can view and manage custom detection rules, check their previous runs, and review the alerts they have triggered. また、必要に応じてルールを実行して変更することもできます。You can also run a rule on demand and modify it.

関連トピックRelated topics