次の方法で共有


Microsoft Sentinel関数、保存されたクエリ、およびカスタム ルールを使用する

関数を使用する

Microsoft Sentinelの関数を使用するには、[関数] タブに移動し、目的の関数が見つかるまでスクロールします。 関数名をダブルクリックして、クエリ エディターに関数を挿入します。

関数の右側にある垂直省略記号 ( kebab アイコン ) を選択し、[挿入] を選択 してクエリを実行して 、クエリ エディターのクエリに関数を挿入することもできます。

他には次のオプションがあります。

  • 詳細の表示 – 詳細を含む関数側ウィンドウが開きます
  • 関数コードの読み込み – 関数コード を含む新しいタブが開きます

編集可能な関数の場合、垂直方向の省略記号を選択すると、さらに多くのオプションが使用できます。

  • [詳細の編集] – 関数の詳細を編集できるように関数側ウィンドウが開きます (Sentinel関数のフォルダー名を除く)
  • Delete – 関数を削除します

Azure Data Explorer クエリに adx() 演算子を使用する (プレビュー)

adx() 演算子を使用して、Azure Data Explorerに格納されているテーブルに対してクエリを実行します。 詳細については、「Azure Data Explorerとは」を参照してください。

この機能は、以前はMicrosoft Sentinelのログ分析でのみ使用されていました。 ユーザーは、Microsoft Sentinel ウィンドウを手動で開く必要なく、統合Microsoft Defender ポータルで高度なハンティングでオペレーターを使用できるようになりました。

クエリ エディターで、次の形式でクエリを入力します。

adx('<Cluster URI>/<Database Name>').<Table Name>

たとえば、特定の URI に格納されている StormEvents テーブルから最初の 10 行のデータを取得するには、次のようにします。

高度なハンティングでの adx 演算子のスクリーンショット。

Azure Resource Graph クエリに arg() 演算子を使用する

arg() オペレーターを使用すると、サブスクリプション、仮想マシン、CPU、ストレージなど、デプロイされた Azure リソース全体でクエリを実行できます。

この機能は、以前はMicrosoft Sentinelのログ分析でのみ使用されていました。 Microsoft Defender ポータルでは、arg() 演算子はデータMicrosoft Sentinel処理します (つまり、Defender XDR テーブルはサポートされていません)。 これにより、ユーザーは手動でMicrosoft Sentinelウィンドウを開く必要なく、高度なハンティングで演算子を使用できます。

arg()演算子を使用するクエリでは、最初の 1,000 レコードのみが返されることに注意してください。 詳細については、「arg() を使用して Azure Resource Graphのデータをクエリする」を参照してください。

クエリ エディターで、「arg("")」と入力します。その後に Azure Resource Graph テーブル名が続きます。

以下に例を示します。

高度なハンティングでの arg 演算子のスクリーンショット。

たとえば、Azure Resource Graph クエリの結果に基づいてMicrosoft Sentinelデータを検索するクエリをフィルター処理することもできます。

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

保存されたクエリを使用する

Microsoft Sentinelから保存されたクエリを使用するには、[クエリ] タブに移動し、目的のクエリが見つかるまでスクロールします。 クエリ名をダブルクリックして、クエリ エディターでクエリを読み込みます。 その他のオプションについては、クエリの右側にある垂直省略記号 ( kebab アイコン ) を選択します。 ここから、次のアクションを実行できます。

  • クエリの実行 – クエリ エディターでクエリを読み込み、自動的に実行します

  • クエリ エディターで開く - クエリ エディターでクエリを読み込みます

  • 詳細の表示 – クエリの詳細サイド ウィンドウが開き、クエリを検査したり、クエリを実行したり、エディターでクエリを開いたりできます。

    Microsoft Defender ポータルで保存されたクエリで使用できるオプションのスクリーンショット

編集可能なクエリの場合は、その他のオプションを使用できます。

  • 詳細の編集 – クエリの詳細サイド ウィンドウが開き、説明 (該当する場合) やクエリ自体などの詳細を編集するオプションが表示されます。Microsoft Sentinelクエリのフォルダー名 (場所) のみを編集できません
  • 削除 – クエリを削除します
  • 名前の変更 – クエリ名を変更できます

カスタム分析と検出ルールを作成する

環境内の脅威や異常な動作を検出するために、カスタム検出ポリシーを作成できます。

接続されたMicrosoft Sentinel ワークスペースを介して取り込まれたデータに適用される分析ルールの場合は、[分析ルールの作成] > [ルールの管理] を選択します。

Microsoft Defender ポータルでカスタム分析または検出を作成するオプションのスクリーンショット

分析ルール ウィザードが表示されます。 分析ルール ウィザードの [全般] タブで説明されているように、必要な詳細を入力します。

Microsoft Sentinel テーブルとDefender XDR テーブルの両方のデータに対してクエリを実行するカスタム検出ルールを作成することもできます。 [ ルールの管理] > [カスタム検出の作成] を選択します。 詳細については、「 カスタム検出ルールの作成と管理 」を参照してください。

Defender XDR データがMicrosoft Sentinelに取り込まれる場合は、[カスタム検出の作成] と [分析ルールの作成] を選択できます。