カスタム ハンティング クエリを使用して、organizationのデータ ソース全体でセキュリティ上の脅威を検出します。 Microsoft Sentinelには、ネットワーク上のデータの問題を見つけるのに役立つ組み込みのハンティング クエリが用意されています。 ただし、独自のカスタム クエリを作成できます。 ハンティング クエリの詳細については、「Microsoft Sentinelでの脅威ハンティング」を参照してください。
新しいクエリを作成する
Microsoft Sentinelで、[ハンティング>クエリ] タブからカスタムハンティング クエリを作成します。
Defender ポータルでMicrosoft Sentinelする場合は、[Microsoft Sentinel>Threat management>Hunting] を選択します。 Azure portalでMicrosoft Sentinelする場合は、[脅威管理] で [ハンティング] を選択します。
[ クエリ ] タブを選択します。
コマンド バーで、[ 新しいクエリ] を選択します。
空白のフィールドをすべて入力します。
エンティティの種類、識別子、列を選択して、エンティティ マッピングを作成します。
MITRE ATT&CK 手法をハンティング クエリにマップするには、戦術、手法、サブ手法 (該当する場合) を選択します。
クエリの定義が完了したら、[ 作成] を選択します。
既存のクエリを複製する
カスタムクエリまたは組み込みクエリを複製し、必要に応じて編集します。
[ ハンティング>クエリ ] タブで、複製するハンティング クエリを選択します。
変更するクエリの行で省略記号 (...) を選択し、[複製] を選択 します。
必要に応じて、クエリとその他のフィールドを編集します。
[作成] を選択します。
既存のカスタム クエリを編集する
編集できるのは、カスタム コンテンツ ソースからのクエリのみです。 他のコンテンツ ソースは、そのソースで編集する必要があります。
[ ハンティング>クエリ ] タブで、変更するハンティング クエリを選択します。
変更するクエリの行で省略記号 (...) を選択し、[編集] を選択 します。
[ クエリ ] フィールドを更新したクエリで更新します。 エンティティのマッピングと手法を変更することもできます。
完了したら、[保存] を選択 します。