既存のカスタム検出ルールを管理する

既存のカスタム検出ルールの一覧を表示し、以前の実行をチェックし、トリガーされたアラートを確認できます。 必要に応じてルールを実行し、変更することもできます。

統合Microsoft Defender ポータルにMicrosoft Sentinel ワークスペースをオンボードしたユーザーの場合、カスタム検出ルールの一覧には分析ルールが含まれます。 以下のセクションは、特に指定がない限り、分析ルールにも適用されます。

既存のルールを表示する

既存のカスタム検出ルールと分析ルールを表示するには、[ ハンティング>カスタム検出ルール] に移動します。

[ フィルターの追加] に移動し、フィルターする列を選択し、[ 追加] を選択することで、任意の列をフィルター処理できます。 選択した各列について、[ フィルター] の横にある対応するピルを選択し、列を選択し、[適用] を 選択します。

特定のルールを検索するには、ページの右上にある検索ボックスに移動し、探しているルールの名前またはルール ID を入力します。

複数のワークスペースをMicrosoft Defenderにオンボードしたマルチワークスペース組織の場合は、[ワークスペース ID] または [ワークスペース名] 列を使用してワークスペースをフィルター処理できます。

ページには、次の実行情報を含むすべてのルールが一覧表示されます。

• 最終実行 - クエリの一致をチェックしてアラートを生成するルールが最後に実行されたとき
• 最終実行状態 - ルールが正常に実行されたかどうか (カスタム検出ルールの場合のみ)
• 次の実行 - 次にスケジュールされた実行
• 状態 - ルールがオンまたはオフになっているかどうか

ルールの詳細の表示、ルールの変更、およびルールの実行

カスタム検出ルールまたは分析ルールに関する包括的な情報を表示するには、[ ハンティング>カスタム検出ルール ] に移動し、規則の名前を選択します。 その後、情報、実行状態、スコープなど、ルールに関する一般的な情報を表示できます。 このページには、トリガーされたアラートとアクションの一覧も表示されます。

また、このページからルールに対して次のアクションを実行することもできます。

• 検出ルール ページを開く - 検出ルール ページを開き、トリガーされたアラートを表示し、アクションを確認します (カスタム検出ルールの場合のみ)
• [実行 ] - ルールを直ちに実行します。これにより、次の実行の間隔もリセットされます (カスタム検出ルールの場合のみ)
• 編集 - クエリを変更せずにルールを変更できます
• クエリの変更 - 高度なハンティングでクエリを編集できます
• オンにします / オフにする - ルールを有効にするか、実行を停止できます
• 削除 - ルールをオフにして削除できます
• [関連付けから除外] - 分析ルールを関連付けから除外できます。 このアクションはプレビュー段階であり、分析ルール専用です。 詳細については、「Microsoft Defender XDR (プレビュー)の相関関係から分析ルールを除外する」を参照してください。

トリガーされたアラートを表示して管理する

ルールの詳細画面 (ハンティング>Custom 検出>[ルール名]) で、[ トリガーされたアラート] に移動します。ルールに一致して生成されたアラートが一覧表示されます。 アラートを選択して、アラートに関する詳細情報を表示し、次のアクションを実行します。

• 状態と分類 (true または false アラート) を設定してアラートを管理する
• アラートをインシデントにリンクする
• 高度な捜索でアラートをトリガーしたクエリを実行する

アクションを確認する

ルールの詳細画面 (ハンティング>Custom 検出>[ルール名]) で、[ トリガーされたアクション] に移動します。これにより、ルールへの一致に基づいて実行されたアクションが一覧表示されます。

関連項目

• カスタム検出の概要
• 高度な追求の概要
• 高度な捜索のクエリ言語について学習する
• 高度なハンティング クエリをMicrosoft Defender for Endpointから移行する
• カスタム検出用の Microsoft Graph セキュリティ API