Microsoft Defender for Office 365の高度なハンティングの例
適用対象:
- Microsoft Defender XDR
高度な検出を使用してメールの脅威の検索を開始しますか? 次の手順を試してください。
Microsoft Defender for Office 365デプロイ ガイドでは、すぐに始め、1 日目に構成を取得する方法について説明します。
既定のセキュリティ ポリシーとカスタム ポリシーの選択に応じて、配信後にメールボックスから悪意のあるメッセージが削除されたかどうかを知るために、ゼロ時間自動消去 (ZAP) 設定が重要です。
問題を探し出す場合に、Kusto クエリ言語にすばやく移動できることは、2 つのセキュリティ センターを集約する利点です。 セキュリティ チームは、https://security.microsoft.com>Hunting>Advanced Hunting のMicrosoft Defender ポータルで次の手順を実行することで、ZAP ミスを監視できます。
https://security.microsoft.com/v2/advanced-huntingの [高度なハンティング] ページで、[新しいクエリ] タブが選択されていることを確認します。
[クエリ] ボックスに次の クエリ をコピーします。
EmailPostDeliveryEvents | where Timestamp > ago(7d) //List malicious emails that were not zapped successfully | where ActionType has "ZAP" and ActionResult == "Error" | project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress //Get logon activity of recipients using RecipientEmailAddress and AccountUpn | join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn | where Timestamp between ((ZapTime-24h) .. (ZapTime+24h)) //Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon | project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType[クエリの実行] を選択します。
![クエリ パネルの上部で [クエリ] が選択され、Kusto クエリを実行して過去 7 日間の ZAP アクションをキャプチャする [高度なハンティング] ページ ([ハンティング] の下)。](/ja-jp/defender/media/ah-query-example-new.png)
このクエリのデータは、クエリ自体の下の [結果 ] パネルに表示されます。 結果には、カスタマイズ可能な結果セット内の
DeviceName、AccountDisplayName、ZapTimeなどの情報が含まれます。 ユーザーの記録用に、結果をエクスポートすることもできます。 再利用するためにクエリを保存するには、[保存]>[名前を付けて保存] を選択して、クエリ、共有クエリ、またはコミュニティ クエリの一覧にクエリを追加します。
![クエリ パネルの上部で [クエリ] が選択され、Kusto クエリを実行して過去 7 日間の ZAP アクションをキャプチャする [高度なハンティング] ページ ([ハンティング] の下)。](/ja-jp/defender/media/ah-query-example-new.png#lightbox)
関連情報
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。