ポータルでの Microsoft Sentinel データを使用した高度なハンティングMicrosoft Defender

高度なハンティングを使用すると、統合Microsoft Defender ポータル内で使用できるすべてのデータ ソースを表示および照会できます。これには、Microsoft Defender XDRやさまざまな Microsoft セキュリティ サービスが含まれます。 Microsoft Sentinel を Defender ポータルにオンボードする場合は、クエリや関数を含むすべての既存の Microsoft Sentinel ワークスペース コンテンツにアクセスして使用することもできます。

異なるデータ セット間で 1 つのポータルからクエリを実行すると、ハンティングの効率が高くなり、コンテキスト切り替えが不要になります。

アクセス方法

必要な役割と権限

ロールとアクセス許可に基づいて、現在アクセスできる任意のワークロード内のデータに対してクエリを実行できます。

統合された高度なハンティング ページで Microsoft Sentinel 全体でクエリを実行し、データをMicrosoft Defender XDRするには、少なくとも Microsoft Sentinel 閲覧者ロールも必要です。 詳細については、「 Microsoft Sentinel 固有のロール」を参照してください。

ワークスペースを接続する

Microsoft Defenderでは、上部バナーの [ワークスペースの接続] を選択してワークスペースを接続できます。 このボタンは、統合Microsoft Defender ポータルに Microsoft Sentinel ワークスペースをオンボードする資格がある場合に表示されます。 「 ワークスペースのオンボード」の手順に従います。

Microsoft Sentinel ワークスペースを接続し、高度なハンティング データMicrosoft Defender XDRした後、高度なハンティング ページから Microsoft Sentinel データのクエリを開始できます。 高度なハンティング機能の概要については、「高度なハンティング を使用して脅威を事前に検出する」を参照してください。

Microsoft Sentinel にストリーミングされたDefender XDR テーブルに対する想定内容

• クエリでデータ保持期間が長いテーブルを使用する – 高度なハンティングは、Defender XDR テーブルに対して構成された最大データ保持期間に従います (「クォータについて」を参照してください)。 Defender XDRテーブルを Microsoft Sentinel にストリーミングし、そのテーブルのデータ保持期間が 30 日を超える場合は、高度なハンティングで長期間クエリを実行できます。
• Microsoft Sentinel で使用した Kusto 演算子を使用 する – 一般に、Microsoft Sentinel からのクエリは、 adx() 演算子を使用するクエリなど、高度なハンティングで機能します。 クエリ内の演算子がスキーマと一致しないと IntelliSense から警告が表示される場合がありますが、クエリを引き続き実行でき、正常に実行される必要があります。
• クエリでタイム スパンを設定するのではなく、時間フィルター ドロップダウンを使用します。テーブルをそのままストリーミングするのではなく、Defender XDR テーブルのインジェストを Sentinel にフィルター処理する場合は、クエリの時間をフィルター処理しないでください。これにより不完全な結果が生成される可能性があるためです。 クエリで時刻を設定すると、通常はデータ保持期間が長くなるため、Sentinel からストリーミングされたフィルター処理されたデータが使用されます。 すべてのDefender XDRデータに対して最大 30 日間クエリを実行する場合は、代わりにクエリ エディターに表示される [時間フィルター] ドロップダウンを使用します。
• Microsoft Sentinel からストリーミングされたDefender XDRデータのSourceSystem列とMachineGroup列を表示する – 列SourceSystemとMachineGroupは、Microsoft Sentinel にストリーミングされるとDefender XDRテーブルに追加されるため、Defender での高度なハンティングの結果にも表示されます。 ただし、ストリーミングされなかったDefender XDRテーブル (既定の 30 日間のデータ保持期間に従うテーブル) では空白のままです。

Microsoft Sentinel データを検索する場所

高度なハンティング KQL (Kusto 照会言語) クエリを使用して、Microsoft Defender XDRと Microsoft Sentinel のデータを検索できます。

ワークスペースを接続した後に高度なハンティング ページを初めて開くと、[スキーマ] タブの下の [Microsoft Defender XDR テーブルの後にソリューション別に整理されたそのワークスペースのテーブルの多くを見つけることができます。

同様に、Microsoft Sentinel の関数は [関数] タブで見つけることができ、Microsoft Sentinel の共有クエリとサンプル クエリは、Sentinel とマークされたフォルダー内の [クエリ] タブにあります。

スキーマ情報を表示する

スキーマ テーブルの詳細については、[スキーマ] タブの下にある任意のスキーマ テーブル名の右側にある垂直省略記号 ( ) を選択し、[ スキーマ の 表示] を選択します。

統合ポータルでは、スキーマの列名と説明を表示するだけでなく、次の情報も表示できます。

• サンプル データ – 次のような単純なクエリを読み込む [プレビュー データの表示] を選択します TableName | take 5
• スキーマの種類 – テーブルが完全なクエリ機能 (高度なテーブル) をサポートしているかどうか (基本ログ テーブル)
• データ保持期間 – データが保持されるように設定されている期間
• タグ – Sentinel データ テーブルで使用できます

既知の問題

• Microsoft Sentinel SecurityAlert テーブルは、 AlertInfo テーブルと AlertEvidence テーブルに置き換えられます。両方にアラートに関するすべてのデータが含まれています。 SecurityAlert は [スキーマ] タブでは使用できませんが、高度なハンティング エディターを使用してクエリで引き続き使用できます。 このプロビジョニングは、このテーブルを使用する Microsoft Sentinel からの既存のクエリを中断しないように行われます。
• ガイド付きハンティング モードとアクションの実行機能は、Defender XDR データでのみサポートされています。
• カスタム検出には、次の制限があります。
  • Microsoft Sentinel データを含む検出では、ほぼリアルタイムの検出頻度を使用できません。
  • Microsoft Sentinel で作成および保存されたカスタム関数はサポートされていません。
• 高度なハンティング エクスペリエンスでは、ブックマークはサポートされていません。 これらは、 Microsoft Sentinel > 脅威管理 > ハンティング 機能でサポートされています。 または、 インシデントへのリンク機能を使用して 、クエリ結果を新規または既存のインシデントにリンクすることもできます。
• テーブルDefender XDR Log Analytics にストリーミングする場合は、列Timestamp と TimeGenerated 列に違いがある可能性があります。 データが 48 時間後に Log Analytics に到着した場合、 now()へのインジェスト時にオーバーライドされます。 そのため、イベントが発生した実際の時刻を取得するには、 Timestamp 列に依存することをお勧めします。
• 高度なハンティング クエリのSecurity Copilotを求めると、現在、すべての Microsoft Sentinel テーブルがサポートされていない場合があります。 ただし、将来、これらのテーブルのサポートが期待される場合があります。

関連項目

• 高度なハンティング関数、保存されたクエリ、およびカスタム ルールを使用する
• Microsoft Sentinel データを含む結果を操作する