個々のまたは複数の観測事象を選択し、Microsoft Defender for Endpoint で手動サイティング検索を実行することで、脅威のまん延を時系列で見極めることができます。
このタスクについて
サポートされている観測事象タイプは次のとおりです。
手順
-
[セキュリティインシデント] に移動します。
-
既存の SIR を開くか、新しい SIR を作成します。
-
[関連リンク] で、[IoC を表示] をクリックします。
-
[関連する観測事象] 関連リストをクリックします。
-
観測事象を選択します。
-
[アクション] リストから、[観測事象の拡張を実行] をクリックします。
-
観測事象を選択し、選択した行の [アクション] から [サイティング検索を実行] をクリックします。
注: サイティング検索は、ドメイン名、IP アドレス (V4)、IP アドレス (V6)、MD5 ハッシュ、SHA1 ハッシュ、および SHA256 ハッシュ観測事象タイプでそれぞれサポートされています。
-
検索の期間を指定し、[検索] をクリックします。
注: Microsoft Defender for Endpoint は、過去 30 日間のサイティング検索のみをサポートしています。範囲クエリが過去 30 日より前の場合、サイティング検索はデータを取得しません。範囲クエリが過去 30 日と重複する場合は、過去 30 日間のサイティングのみが取得され、範囲クエリが過去 30 日以内の場合は、定義された開始時刻から現在時刻までのサイティングが取得されます。
-
検索が完了したら、関連リストで結果と詳細を検証します。
-
[サイティング検索の詳細] をクリックして、サイティング検索の詳細を表示します。
-
詳細については [サイティング] タブをクリックし、検索結果については [サイティング検索結果] タブをクリックします。
特定のサイティングに関連する追加情報を [サマリー] フィールドに表示できます。