関数を使用する
Microsoft Sentinelの関数を使用するには、[関数] タブに移動し、目的の関数が見つかるまでスクロールします。 関数名をダブルクリックして、クエリ エディターに関数を挿入します。
関数の右側にある垂直省略記号 ( 
) を選択し、[挿入] を選択 してクエリを実行して 、クエリ エディターのクエリに関数を挿入することもできます。
他には次のオプションがあります。
- 詳細の表示 – 詳細を含む関数側ペインを開きます。
- 関数コードの読み込み – 関数コード を含む新しいタブを開きます。
編集可能な関数の場合、垂直方向の省略記号を選択すると、さらに多くのオプションが使用できます。
- 詳細の編集 – 関数の詳細を編集できるように関数側ウィンドウを開きます (Sentinel関数のフォルダー名を除く)。
- Delete – 関数を削除します。
Azure Data Explorer クエリに adx() 演算子を使用する
adx() 演算子を使用して、Azure Data Explorerに格納されているテーブルに対してクエリを実行します。 詳細については、「Azure Data Explorerとは」を参照してください。
この機能は、以前はMicrosoft Sentinelのログ分析でのみ使用されていました。 ユーザーは、Microsoft Sentinel ウィンドウを手動で開く必要なく、統合Microsoft Defender ポータルで高度なハンティングでオペレーターを使用できるようになりました。
クエリ エディターで、次の形式でクエリを入力します。
adx('<Cluster URI>/<Database Name>').<Table Name>
たとえば、特定の URI に格納されている StormEvents テーブルから最初の 10 行のデータを取得するには、次のようにします。
注:
adx()演算子は、カスタム検出ではサポートされていません。
Azure Resource Graph クエリに arg() 演算子を使用する
arg() 演算子を使用すると、サブスクリプション、仮想マシン、CPU、ストレージなどのデプロイされたAzure リソース全体でクエリを実行できます。
この機能は、以前はMicrosoft Sentinelのログ機能でのみ使用されていました。 Microsoft Defender ポータルでは、arg() 演算子は、Azure Resource Graph (arg) クエリとMicrosoft Sentinel テーブル (つまり、Defender XDR テーブルはサポートされていません) を組み合わせるために機能します。 これにより、ユーザーは、Microsoft Sentinel ウィンドウを手動で開かずに、高度なハンティングでサービス間クエリを作成できます。
詳細については、「arg()を使用してAzure Resource Graphのデータを照会する」を参照してください。
注:
arg()演算子は、分析ルールではサポートされていません。
クエリ エディターで、「arg("")」と入力します。の後にAzure Resource Graphテーブル名が続きます。
以下に例を示します。
たとえば、Azure Resource Graph クエリの結果に基づいてMicrosoft Sentinelデータを検索するクエリをフィルター処理することもできます。
arg("").Resources
| where type=="microsoft.compute/virtualmachines" | extend name = tolower(name)
| join (
BehaviorAnalytics
| where isnotempty(SourceDevice) and InvestigationPriority > 2 | extend SourceDevice = tolower(SourceDevice)
) on $left.name == $right.SourceDevice
保存されたクエリを使用する
Microsoft Sentinelから保存されたクエリを使用するには、[クエリ] タブに移動し、目的のクエリが見つかるまでスクロールします。 クエリ名をダブルクリックして、クエリ エディターでクエリを読み込みます。 その他のオプションについては、クエリの右側にある垂直省略記号 ( ) を選択します。 ここから、次のアクションを実行できます。
クエリの実行 – クエリ エディターでクエリを読み込み、自動的に実行します。
クエリ エディターで開く – クエリ エディターでクエリを読み込みます。
詳細の表示 – クエリの詳細サイド ウィンドウを開き、クエリを検査したり、クエリを実行したり、エディターでクエリを開いたりできます。
編集可能なクエリの場合は、その他のオプションを使用できます。
- 詳細の編集 – クエリの詳細サイド ウィンドウを開き、説明 (該当する場合) やクエリ自体などの詳細を編集するオプションを指定します。Microsoft Sentinelクエリのフォルダー名 (場所) のみを編集することはできません。
- 削除 – クエリを削除します。
- 名前の変更 – クエリ名を変更できます。
カスタム分析と検出ルールを作成する
環境内の脅威や異常な動作を検出するために、カスタマイズされた検出ルールを作成できます。 次の 2 種類があります。
- 分析ルール - Microsoft Sentinelを介して取り込まれたデータに対してクエリを実行するルールから検出を生成する
- カスタム検出ルール - Defender XDRまたはMicrosoft SentinelとDefender XDRの両方からデータを照会するルールから検出を生成する
分析ルール
接続されたMicrosoft Sentinel ワークスペースを介して取り込まれたデータに適用される分析ルールの場合は、[分析ルールの作成] > [ルールの管理] を選択します。
分析ルール ウィザードが表示されます。 分析ルール ウィザードの [全般] タブで説明されているように、必要な詳細を入力します。
カスタム検出ルール
Microsoft Sentinel テーブルとDefender XDR テーブルの両方からデータを照会するカスタム検出ルールを作成できます。 [ ルールの管理] > [カスタム検出の作成] を選択します。 詳細については、「 カスタム検出ルールの作成 」を参照してください。
カスタム検出と分析ルールの作成の両方で、クエリを実行できるのは、分析ログとして取り込まれたデータだけです (つまり、基本的なログや補助ログとしてではなく)。異なる層をチェックするためのログ管理プランを参照してください)。それ以外の場合、ルールの作成は続行されません。
Defender XDR データがMicrosoft Sentinelに取り込まれる場合は、[カスタム検出の作成] と [分析ルールの作成] を選択できます。
注:
Defender XDRテーブルがMicrosoft Sentinelでログ分析にストリーミングするように設定されていないが、Microsoft Sentinelの標準テーブルとして認識されている場合、分析ルールは正常に作成できますが、Microsoft Sentinelで実際に使用できるデータがないため、ルールは正しく実行されません。 このような場合は、代わりにカスタム検出ルール ウィザードを使用します。
カスタム分析と検出ルールを管理する
[ 検出 ルール] ページでは、ユーザー定義のすべてのルール (カスタム検出ルールと分析ルールの両方) を表示できます。 詳細については、「 カスタム検出の管理 」を参照してください。
複数のワークスペースをオンボードしてMicrosoft Defenderしたマルチワークスペース組織の場合、ワークスペース ID 列を表示し、ワークスペースでフィルター処理できるようになりました。