次の方法で共有

Microsoft Sentinel でカスタム ハンティング クエリを作成する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

カスタム ハンティング クエリを使用して組織のデータ ソース全体でセキュリティ上の脅威をハントします。 Microsoft Sentinel には、ネットワーク上のデータの問題を見つけるのに役立つ、組み込みのハンティング クエリが用意されています。 ただし、独自のカスタム クエリを作成することもできます。 ハンティング クエリの詳細については、「Microsoft Sentinel の脅威ハンティング」を参照してください。

新しいクエリを作成する

Microsoft Sentinel で、[ハンティング]>[クエリ] タブでカスタム ハンティング クエリを作成します。

  1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[ハンティング] を選択します。
    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[ハンティング] を選択します。

  2. [クエリ] タブを選択します。

  3. コマンド バーで、[新しいクエリ] を選択します。

  4. すべての空フィールドに入力します。

    1. エンティティ型、識別子、列を選択して、エンティティ マッピングを作成します。

      ハンティング クエリでのエンティティ型のマッピングのスクリーンショット。

    2. MITRE ATT&CK の手法をハンティング クエリにマップするために、戦術、手法、サブ手法 (該当する場合) を選択します。

      新しいクエリ

  5. クエリの定義が完了したら、[作成] を選択します。

既存のクエリをクローンする

カスタム クエリまたは組み込みクエリをクローンし、必要に応じて編集します。

  1. [ハンティング]>[クエリ] タブで、クローンするハンティング クエリを選択します。

  2. 変更するクエリの行で省略記号 (...) を選択し、[クローン] を選択します。

  3. クエリとその他のフィールドを必要に応じて編集します。

  4. [作成] を選択します

既存のカスタム クエリを編集する

編集できるのは、カスタム コンテンツ ソースからのクエリのみです。 他のコンテンツ ソースは、そのソースで編集する必要があります。

  1. [ハンティング]>[クエリ] タブで、変更するハンティング クエリを選択します。

  2. 変更するクエリの行で省略記号 (...) を選択し、[編集] を選択します。

  3. 更新されたクエリを使用して [クエリ] フィールドを更新します。 エンティティのマッピングと手法を変更することもできます。

  4. 終了したら、[保存] を選択します。

関連するコンテンツ