次の方法で共有

ハンティング グラフを使用して脅威を探す

  • 適用対象: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

ハンティング グラフは、脅威のシナリオを対話型グラフとしてレンダリングすることで、高度なハンティングで視覚化機能を提供します。 この機能により、セキュリティ オペレーション センター (SOC) アナリスト、脅威ハンター、およびセキュリティ研究者は、脅威ハンティングとインシデント対応をより簡単かつ直感的に実行でき、その効率性とセキュリティの問題を評価する能力が向上します。

アナリストは、エンティティ間のリレーションシップを明らかにするために、多くの場合、Kusto 照会言語 (KQL) クエリに依存しています。 この方法は、時間がかかり、見落としを起こしやすい場合があります。 ハンティング グラフを使用すると、これらのリレーションシップを視覚化することで、セキュリティ データの探索をより簡単かつ迅速に行うことができます。 パスと考えられるチョーク ポイントをトレースしたり、サーフェスの分析情報をトレースしたり、表形式のクエリで見逃す可能性のある結果に基づいてさまざまなアクションを実行したりできます。

アクセス権を取得する

ハンティング グラフ、高度なハンティング、またはその他のMicrosoft Defender XDR機能を使用するには、Microsoft Entra IDで適切なロールが必要です。 高度なハンティングに必要なロールとアクセス許可について説明します

また、次のアクセス許可も必要です。

ハンティング グラフを見つける場所

ハンティング グラフ ページを見つけるには、Microsoft Defender ポータルの左側のナビゲーション バーに移動し、[調査 & 応答>Hunting>Advanced ハンティングを選択します。

高度なハンティング ページで、ハンティング グラフ アイコン [ ハンティング グラフ アイコンのスクリーンショット ] を選択します。ページの上部にある [新規作成] アイコン [ 新しい アイコン のスクリーンショット ] を選択し、[ ハンティング グラフ] を選択します。

高度なハンティング ページの [新しいハンティング グラフの作成] オプションのスクリーンショット。

新しいハンティング グラフ ページが、高度なハンティング ページに [ 新しいハント ] というラベルのタブとして表示されます。

ハンティング グラフ機能

ハンティング グラフが生成する対話型グラフでは、 ノードエッジ を使用して、デバイス、ユーザー アカウント、IP アドレスなどの環境内のエンティティとそのリレーションシップや接続プロパティを表示します。 Microsoft Defenderのグラフと視覚化の詳細については、こちらをご覧ください

グラフの右下隅にはコントロール ボタンがあります。このボタンを使用すると、 拡大 および 縮小し、グラフのレイヤーを表示 できます

ハンティング グラフ ページのレンダリングされたグラフのスクリーンショット。

ハンティング グラフの概要

ハンティング グラフで定義済みのシナリオを使用する

ハンティング グラフを使用すると、定義済みのシナリオで検索できます。 これらのシナリオは、特定のユース ケースに関する特定の一般的な質問に回答するのに役立つ事前構築済みの高度なハンティング クエリです。

定義済みのシナリオでハンティングを開始するには、新しいハンティング グラフ ページで [ 定義済みのシナリオで検索] を選択します。 サイド パネルが表示され、次の手順を実行できます。

  1. シナリオを選択し、必要な入力を入力します
  2. グラフにフィルターを適用する
  3. グラフをレンダリングする

[定義済みのシナリオで検索] ボタンが強調表示されているハンティング グラフ ページのスクリーンショット。

手順 1: シナリオを選択し、シナリオ入力を入力する

次の表では、ハンティング グラフの定義済みのシナリオと、該当する場合は、それぞれの必須シナリオ入力について説明します。 入力が必要なシナリオでは、指定された検索ボックスで入力または検索して選択できます。

シナリオ 説明 入力
2 つのエンティティ間のパス 2 つのエンティティ (ノード) を指定して、それらの間のパスを表示します。

あるエンティティから別のエンティティへのパスがあるかどうかを検出する場合は、このシナリオを使用します。
  • 開始エンティティ
  • 終了エンティティ
キー コンテナーにアクセスできるエンティティ 直接または間接的にアクセスできるさまざまなエンティティ (デバイス、仮想マシン、コンテナー、サーバーなど) からのパスを表示する特定のキー コンテナーを指定します。

このシナリオは、侵害、メンテナンス作業、またはキー コンテナーなどの機密性の高い資産にアクセスできる可能性があるエンティティの影響を評価する場合に使用します。		 ターゲット キー コンテナー
機密データにアクセスできるユーザー 関心のある機密データ ストレージを提供して、アクセス権を持つユーザーを表示します。

このシナリオは、機密データにアクセスできるエンティティを知りたい場合に使用します。特に、インシデントが機密ファイルへの異常なアクセスを示している場合に使用します。		 ターゲット ストレージ アカウント
機密データを含むストレージ アカウントにアクセスできる重要なユーザー このシナリオでは、機密データを含むストレージ リソースにアクセスできる重要なユーザーを識別します。

このシナリオを使用して、権限を持つユーザーに基づいて、未承認のアクセス、露出リスク、および侵害の影響を防止、評価、監視します。		 (なし)
デバイスによるデータ流出 アクセス権を持つストレージ アカウントへのパスを表示するデバイス ID を指定します。たとえば、特定のデバイスが Bring Your Own Device (BYOD) 環境でアクセスできるストレージ アカウントをチェックします。

このシナリオは、企業のデバイスと外部ソースからの疑わしいデータ転送または未承認のデータ転送を調査する場合に使用します。		 ソース デバイス
非常に重要な Kubernetes クラスターへのパス アクセス権を持つユーザー、仮想マシン、コンテナーを表示するために、重要度の高い Kubernetes クラスターを提供します。

このシナリオを使用して、非常に重要な Kubernetes クラスターにつながる攻撃パスの処理を評価、分析、優先順位付けします。		 ターゲット Kubernetes クラスター
Azure DevOps リポジトリへのアクセス権を持つ ID Azure DevOps (ADO) リポジトリ名を指定して、そのリポジトリに対する読み取りおよび/または書き込みアクセス権を持つユーザーを表示します。

このシナリオを使用して、ADO リポジトリへのアクセス権を持つエンティティを特定します。これには、多くの場合、機密性の高い資産が含まれているため、脅威アクターにとって重要なターゲットが含まれます。 このシナリオでは、可視性が得られ、侵害が発生した場合の対応を計画できます。		 ターゲット ADO リポジトリ
SQL データ ストアへのパス数が最も多いノードを識別する このシナリオでは、SQL データ ストアにつながるパスの最大数に表示されるノードを識別します。 このシナリオでは、ユーザーが SQL データ ストアにアクセスするためのロールまたはアクセス許可を持つ、グラフ内のパスを検出します。

このシナリオを使用して、機密情報を含む可能性のあるストアを可視化し、侵害が発生した場合の影響を評価し、軽減策と対応を準備します。		 (なし)
重要な資産への攻撃パス ターゲットに向かうさまざまなノードを通る潜在的なルートを表示します。
このシナリオを使用して、ネットワークを介して重要な資産に到達する可能性がある潜在的な横移動を調べます。		 重要な資産をターゲットとする
エンティティ接続 特定のエンティティの直接接続を見つけて、そのリレーションシップを分析します。 ソース エンティティ

手記: グラフのシードノードとして任意のエンティティを使用できます。 グラフは、受信接続と送信接続を示します。

使用可能なオプションが強調表示されている定義済みのシナリオのサイド パネルのスクリーンショット。

定義済みのシナリオのサイド パネルのスクリーンショット。必要なシナリオの入力が強調表示されています。

手順 2: フィルターを適用する

関連するフィルターを追加して、選択したシナリオのマップ ビューをより正確にすることができます。 たとえば、 最短パスのみを表示する場合は、このオプションを選択します。

[最短パスのみを表示] フィルターが強調表示されている定義済みのシナリオのサイド パネルのスクリーンショット。

高度なフィルター

既定では、定義済みのシナリオでは、サイド パネルの [詳細 フィルター] セクションに表示できる特定のフィルターが自動的に適用されます。 これらのフィルターを削除するか、新しいフィルターを追加して、生成するグラフをさらに絞り込むことができます。

フィルターを削除するには、[ フィルターの削除 ] アイコン [フィルター の削除] アイコンのスクリーンショット を選択します。各フィルターの横にある [ すべてクリア ] を選択して一度にすべて削除します。

フィルターを追加するには、[ フィルターの追加] を選択し、サポートされているノードまたはエッジ フィルターのいずれかを選択します。 次の表に、サポートされている演算子とフィルターを示します。 選択したシナリオによっては、これらのフィルターの一部がオプションとして使用できない場合があります。

フィルターの種類 演算子 Filters
ソース ノード 等しい
  • 重要です
  • 脆弱です
  • インターネットに公開されている
ターゲット ノード 等しい
  • 機密データがある
  • リスク スコアがある
  • 脆弱です
エッジの種類 等しい
  • には、次のアクセス許可があります。
  • トラフィックを にルーティングする
  • 影響を与える
  • 所属
  • 定義
  • は、次のように偽装できます
  • contains
  • 認証を行うことができます。
  • で実行されます
  • ロールがオンになっている
  • が実行されている
  • を作成するために使用されます
  • 維持
  • によって頻繁にログインされます。
  • の資格情報を持つ
  • で定義されている
  • を認証できます。
  • プッシュ
エッジの方向 等しい
  • 受信
  • 送信
  • Both/フォーム/データシート

高度なフィルター セクションが強調表示されている定義済みのシナリオのサイド パネルのスクリーンショット。

手順 3: グラフをレンダリングする

シナリオを選択し、必要なフィルターを適用したら、[ 実行 ] を選択してグラフをレンダリングします。 グラフがレンダリングされたら、ノードとエッジを選択してエンティティとリレーションシップに関する詳細情報を表示したり、特定のエンティティを展開またはフォーカスしたりすることで、グラフをさらに探索できます。

関連項目

  • Last updated on