Microsoft Defender XDRで狩りをするガイド付きモードと高度なモードを選択する
適用対象:
- Microsoft Defender XDR
高度なハンティング ページを見つけるには、Microsoft Defender ポータルの左側のナビゲーション バーに移動し、[ハンティング>の高度なハンティング] を選択します。 ナビゲーション バーが折りたたまれている場合は、ハンティング アイコンの 
を選択します。
高度なハンティング ページでは、次の 2 つのモードがサポートされています。
- ガイド付きモード – クエリ ビルダーを使用してクエリを実行する
- 詳細モード – Kusto 照会言語 (KQL) を使用してクエリ エディターを使用してクエリを実行する
2 つのモードのメイン違いは、ガイド付きモードでは、ハンターが KQL を知ってデータベースを照会する必要がないのに対し、高度なモードでは KQL の知識が必要です。
ガイド付きモードは、使用可能なフィルターと条件を含むドロップダウン メニューを使用してクエリを構築する、使いやすい視覚的な構成要素スタイルを備えたクエリ ビルダーを備えています。 ガイド付きモードを使用するには、「 ガイド付きハンティング モードの概要」を参照してください。
高度なモードでは、ユーザーが最初からクエリを作成できるクエリ エディター領域が備わります。 詳細モードを使用するには、「 高度なハンティング モードの概要」を参照してください。
ガイド付きハンティング モードの概要
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
ガイド付きハンティングが利用可能になった後、初めて高度な狩猟ページを開くと、タブやクエリ領域などのページのさまざまな部分の詳細を知るためにツアーに参加するよう招待されます。
ツアーに参加するには、このバナーが表示されたら[ ツアーに参加 する] を選択します。
ページ全体に表示される青色の教育バブルに従い、[ 次へ ] を選択して、1 つのステップから次のステップに移動します。
[リソース>の詳細] に移動し、[ツアーに参加する] を選択することで、いつでもツアーに参加できます。
その後、脅威を探すクエリの作成を開始できます。 次の記事は、ガイド付きモードでのハンティングを最大限に活用するのに役立ちます。
| 学習目標 | 説明 | リソース |
|---|---|---|
| 最初のクエリを作成する | データ ドメインの指定や、意味のあるクエリの作成に役立つ条件とフィルターの追加など、クエリ ビルダーの基本について説明します。 詳細については、サンプル クエリを実行します。 | ガイド付きモードを使用してハンティング クエリを構築する |
| さまざまなクエリ ビルダーの機能について説明します | サポートされているさまざまなデータ型とガイド付きモード機能を把握し、ニーズに応じてクエリを微調整するのに役立ちます。 | ガイド モードでクエリを絞り込む |
| クエリ結果でできることについて説明します | 結果ビューと、生成された結果に対して実行できる操作 (インシデントへのリンク方法など) について理解します。 |
-
ガイド付きモードでクエリ結果を操作する - クエリ結果に対してアクションを実行する - クエリ結果をインシデントにリンクする |
| 検出ルールの作成 | 高度な捜索クエリを使用してアラートをトリガーし、応答アクションを自動的に実行する方法を理解します。 |
-
カスタム検出の概要 - カスタム検出ルール |
高度なハンティング モードの概要
高度なハンティングをすぐに開始するには、次の手順を実行することをお勧めします。
| 学習目標 | 説明 | リソース |
|---|---|---|
| 言語を学習する | 高度な捜索は、同じ構文および演算子をサポートする Kusto クエリ言語に基づいています。 最初のクエリを実行して、クエリ言語を学習します。 | クエリ言語の概要 |
| クエリ結果を使用する方法について説明します | グラフと、結果を表示またはエクスポートするさまざまな方法について説明します。 クエリをすばやく調整し、ドリルダウンしてより豊富な情報を取得し、応答アクションを実行する方法を探します。 |
-
高度なモードでクエリ結果を操作する - クエリ結果に対してアクションを実行する - クエリ結果をインシデントにリンクする |
| スキーマを理解する | スキーマとその列のテーブルについて、高レベルで十分に理解してください。 クエリを作成するときにデータを探す場所について説明します。 |
-
スキーマ リファレンス - Microsoft Defender for Endpointからの移行 |
| エキスパートのヒントと例を入手する | Microsoft のエキスパートによるガイドを使用して、無料でトレーニングします。 さまざまな脅威の捜索シナリオを網羅する定義済みクエリのコレクションを調べます。 |
-
エキスパート トレーニングを受ける - 共有クエリを使用する - Go hunt - デバイス、電子メール、アプリ、ID 間で脅威を検出する |
| クエリを最適化し、エラーを処理する | 効率的でエラーのないクエリを作成する方法を理解します。 |
-
クエリのベスト プラクティス - エラーの処理 |
| 検出ルールの作成 | 高度な捜索クエリを使用してアラートをトリガーし、応答アクションを自動的に実行する方法を理解します。 |
-
カスタム検出の概要 - カスタム検出ルール |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。