Microsoft Defenderで高度なハンティングを使用して脅威を積極的に探す

高度なハンティングは、最大 30 日間の生データを探索するために使用するクエリ ベースの脅威ハンティング ツールです。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方を無制限に捜索できます。

高度なハンティングでは、ガイド付きモードと高度モードの 2 つのモードがサポートされています。 Kusto 照会言語 (KQL) にまだ慣れていない場合、またはクエリ ビルダーの利便性を優先する場合は、ガイド付きモードを使用します。 KQL を使用してクエリをゼロから作成するのに慣れている場合は 、高度なモード を使用します。

ハンティングを開始するには、Microsoft Defender ポータルで「ガイド付きモードと高度なモードを選択する」を参照してください。

同じ脅威ハンティング クエリを使用して、カスタム検出ルールを構築できます。 これらのルールは自動的に実行され、侵害の疑いのあるアクティビティ、構成ミスのマシン、その他の結果に対してチェックし、応答します。

高度なハンティングでは、次のデータ セットからより広範なデータ セットをチェックするクエリがサポートされます。

• Microsoft Defender for Endpoint
• Microsoft Defender for Office 365
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity
• Microsoft Sentinel

高度なハンティングを使用するには、Microsoft Defender XDRをオンにします。 または、Microsoft Sentinelで高度なハンティングを使用するには、Microsoft Sentinelを Defender ポータルに接続します。

Microsoft Defender for Cloud Appsデータの高度なハンティングの詳細については、ビデオを参照してください。

アクセス権を取得する

高度なハンティング クエリを実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

• Microsoft Defender XDR統合ロール ベースのアクセス制御 (URBAC):

  • 読み取り専用の高度なハンティング アクセス (Email & コラボレーション テーブル): セキュリティ操作>セキュリティ データ>セキュリティ データ基本 (読み取り) URBAC アクセス許可で割り当てられたメンバーシップ。 このアクセス許可は、次へのアクセスを提供します。
    • EmailEvents
    • EmailUrlInfo
    • EmailAttachmentInfo
    • UrlClickEvents
    • エンティティ メタデータのEmail

• Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &する: 次のいずれかのEmail &コラボレーション 役割グループのメンバーシップは、Advanced Hunting の電子メール データ テーブルへのアクセスを提供します。

  • セキュリティ管理者
  • セキュリティ オペレーター
  • セキュリティ閲覧者

• Exchange Onlineアクセス許可: Advanced Hunting で表示Exchange Onlineデータにアクセスするには、ユーザーが次のいずれかのExchange Online役割グループのメンバーである必要があります。

  • View-Only Organization Management
  • "View-Only Configuration/表示専用構成"
  • セキュリティ閲覧者
  • グローバル閲覧者

• Microsoft Entraアクセス許可: 次のいずれかのMicrosoft Entraロールのメンバーシップは、すべての高度なハンティング データへの完全な読み取りアクセスを許可します。

  • グローバル管理者
  • セキュリティ管理者
  • セキュリティ閲覧者
  • グローバル閲覧者

  また、エンドポイント データへのアクセスは、Microsoft Defender for Endpointのロールベースのアクセス制御 (RBAC) 設定によって決まります。 詳細については、「グローバル ロールを使用してMicrosoft Defender XDRへのアクセスMicrosoft Entra管理する」を参照してください。

データの鮮度と更新頻度

高度なハンティング データは、それぞれ異なる統合プロセスを持つ 2 つの異なる型に分類されます。

イベントまたはアクティビティのデータ

イベントまたはアクティビティ データは、アラート、セキュリティ イベント、システム イベント、および定期的な評価に関するテーブルを設定します。 高度な捜索は、このデータは、センサーが収集したデータを対応するクラウド サービスに転送した後、ほぼ瞬間的に受け取ります。 たとえば、Microsoft Defender for Endpoint および Microsoft Defender for Identity で使用可能になった直後に、ワークステーションまたはドメイン コントローラー上の正常なセンサーからイベント データをクエリできます。

さらに多くのイベント プロパティを収集するには、 集計レポートを有効にします。

エンティティ データ

エンティティ データは、ユーザーとデバイスに関する情報をテーブルに設定します。 このデータは、比較的静的なデータ ソースと、Active Directory エントリやイベント ログなどの動的なソースの両方から取得します。 新しいデータを提供するために、テーブルは、正常性状態やタグなどの他の有用な情報を含む、各エンティティに関する最新の最も包括的なデータ セットを含むレコードを挿入するように 1 時間ごとに更新されます。

クォータと使用パラメータ

サービスのパフォーマンスと応答性を維持するために、高度なハンティングでは、さまざまなクォータと使用パラメーター ("サービス制限" とも呼ばれます) が設定されます。 これらのクォータとパラメーターは、手動で実行されるクエリと 、カスタム検出ルールを使用して実行されるクエリに個別に適用されます。 複数のクエリを定期的に実行する場合は、これらの制限に注意してください。 中断を最小限に抑えるために最適化のベスト プラクティスを適用します。

既存のクォータと使用パラメーターについては、次の表を参照してください。

統合Microsoft Defender ポータルでは、ワークスペースをオンボードすることで、Microsoft Sentinel テーブルに対してクエリを実行できます。 そのため、ログ分析ワークスペースの制限も適用されます。

マルチテナント組織での高度なハンティングについては、「マルチテナント 管理での高度なハンティングのクォータ」を参照してください。

タイム ゾーン

クエリ

高度なハンティング データでは、UTC (世界時座標) のタイムゾーンが使用されます。

UTC でクエリを作成します。

結果

高度なハンティング結果は、Microsoft Defender XDRで設定されたタイムゾーンに変換されます。

Advanced Hunting の 30 日間のリテンション期間を延長するには、ストリーミング API を使用します

Advanced Hunting の 30 日間のリテンション期間を延長するには、次のリソースを参照してください。

• Microsoft Defender XDR ストリーミング API
• Microsoft Defender for Endpoint生データ ストリーミング API

関連コンテンツ

• ガイド付きハンティングモードと高度なハンティングモードを選択する
• ガイド付きモードを使用してハンティング クエリを構築する
• クエリ言語の説明
• スキーマを理解する
• Microsoft Graph セキュリティ API
• カスタム検出の概要