Microsoft Sentinel でカスタム ハンティング クエリを作成する

カスタム ハンティング クエリを使用して組織のデータ ソース全体でセキュリティ上の脅威をハントします。 Microsoft Sentinel には、ネットワーク上のデータの問題を見つけるのに役立つ、組み込みのハンティング クエリが用意されています。 ただし、独自のカスタム クエリを作成することもできます。 ハンティング クエリの詳細については、「Microsoft Sentinel の脅威ハンティング」を参照してください。

新しいクエリを作成する

Microsoft Sentinel で、[ハンティング]>[クエリ] タブでカスタム ハンティング クエリを作成します。

1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[ハンティング] を選択します。
   Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[ハンティング] を選択します。

2. [クエリ] タブを選択します。

3. コマンド バーで、[新しいクエリ] を選択します。

   • Azure Portal
   • Defender ポータル

   

4. すべての空フィールドに入力します。

   1. エンティティ型、識別子、列を選択して、エンティティ マッピングを作成します。

      

   2. MITRE ATT&CK の手法をハンティング クエリにマップするために、戦術、手法、サブ手法 (該当する場合) を選択します。

      

5. クエリの定義が完了したら、[作成] を選択します。

既存のクエリをクローンする

カスタム クエリまたは組み込みクエリをクローンし、必要に応じて編集します。

1. [ハンティング]>[クエリ] タブで、クローンするハンティング クエリを選択します。

2. 変更するクエリの行で省略記号 (...) を選択し、[クローン] を選択します。

   • Azure Portal
   • Defender ポータル

   

3. クエリとその他のフィールドを必要に応じて編集します。

4. ［作成］ を選択します

既存のカスタム クエリを編集する

編集できるのは、カスタム コンテンツ ソースからのクエリのみです。 他のコンテンツ ソースは、そのソースで編集する必要があります。

1. [ハンティング]>[クエリ] タブで、変更するハンティング クエリを選択します。

2. 変更するクエリの行で省略記号 (...) を選択し、[編集] を選択します。

3. 更新されたクエリを使用して [クエリ] フィールドを更新します。 エンティティのマッピングと手法を変更することもできます。

4. 終了したら、[保存] を選択します。

関連するコンテンツ

• KQL クイック リファレンス
• Advanced Security Information Model (ASIM) のパーサー
• Microsoft Sentinel での脅威のハンティング
• Microsoft Sentinel でエンドツーエンドのプロアクティブな脅威ハンティングを実施する