💻

Advanced Hunting のユースケースをメモってく（WIP）

2024/12/31に公開

Advanced Hunting のユースケースをメモってく（WIP）

 アラートと動作
 AlertEvidence概要

AlertEvidence テーブルには、Defender のアラートをトリガーしたイベントに関する追加情報が保存されています。アラートをキーに様々な情報を確認できるので、インシデントレスポンスや定期的な振り返りなどのユースケースで活用できます。

ユースケース
特定のアラート（AlertIdまたはTitle別）のエビデンスエンティティを取得します。これにより、さらなる分析のために、その警告に関与するすべてのファイル、IPを表示します。ここでは、アラートのタイトルをベースに検索を行います。// 特定のアラートのエビデンスエンティティを取得
AlertEvidence
| where Title == "Suspicious PowerShell Behavior"
| project Timestamp, EntityType, EvidenceRole, FileName, SHA1, AccountName, DeviceName


 AlertInfo
 BehaviorEntities
 BehaviorInfo
 アプリと ID
 AADSignInEventsBeta
 AADSpnSignInEventsBeta
 CloudAppEvents
 IdentityInfo
 IdentityLogonEvents
 OAuthAppInfoユースケース
リスクの高いOAuthアプリを発見する。[1]OAuthAppInfo
| where AppStatus == "Enabled"
| where PrivilegeLevel == "High"
| where VerifiedPublisher == "{}" and AppOrigin == "External"


 メールとコラボレーション
 EmailAttachmentInfo
 EmailEvents概要

EmailEvents テーブルにはExcange Onlineのメールのログが保存されています。
ここでは、Defender for Office 365の結果などメールに関わる情報も踏まえた分析を行うことができます。

ユースケース
MDOのAIで脅威のあるメールと判定されたメールの一覧を取得するEmailEvents
| where isnotempty(ThreatClassification)
| summarize Count = dcount(NetworkMessageId) by ThreatClassification
| render columnchart


 EmailPostDeliveryEvents
 EmailUrlInfo
 UrlClickEvents
 デバイス
 DeviceEvents
 DeviceFileCertificateInfo
 DeviceFileEvents概要
DeviceFileEvents テーブルは、デバイス上でのファイルの作成、変更、削除、名前変更といったファイルシステム関連のアクティビティを記録するテーブルです

ユースケース
特定のファイルハッシュのファイルが作成されたりしていないかを調査する。let hashList = datatable(SHA256: string)
[
    "XXX",  // XXXに調査したいハッシュを入れる
    "XXX",
    "XXX" 
];
DeviceFileEvents
| where SHA256 in (hashList)
| project Timestamp, DeviceName, FileName, InitiatingProcessFileName, SHA256


 DeviceImageLoadEvents
 DeviceInfo
 DeviceLogonEvents
 DeviceNetworkEvents
 DeviceNetworkInfo
 DeviceProcessEvents
 DeviceRegistryEvents
 Defender 脆弱性の管理
 DeviceTvmInfoGathering
 DeviceTvmInfoGatheringKB
 DeviceTvmSecureConfigurationAssessment
 DeviceTvmSecureConfigurationAssessmentKB
 DeviceTvmSoftwareEvidenceBeta
 DeviceTvmSoftwareInventory
 DeviceTvmSoftwareVulnerabilities
 DeviceTvmSoftwareVulnerabilitiesKB
 露出管理
 ExposureGraphEdges
 ExposureGraphNodes
脚注
Microsoft 365 環境におけるOAuthアプリのリスクと対策 ↩︎

GitHubで編集を提案

アラートと動作

AlertEvidence

AlertInfo

BehaviorEntities

BehaviorInfo

アプリと ID

AADSignInEventsBeta

AADSpnSignInEventsBeta

CloudAppEvents

IdentityInfo

IdentityLogonEvents

OAuthAppInfo

メールとコラボレーション

EmailAttachmentInfo

EmailEvents

EmailPostDeliveryEvents

EmailUrlInfo

UrlClickEvents

デバイス

DeviceEvents

DeviceFileCertificateInfo

DeviceFileEvents

DeviceImageLoadEvents

DeviceInfo

DeviceLogonEvents

DeviceNetworkEvents

DeviceNetworkInfo

DeviceProcessEvents

DeviceRegistryEvents

Defender 脆弱性の管理

DeviceTvmInfoGathering

DeviceTvmInfoGatheringKB

DeviceTvmSecureConfigurationAssessment

DeviceTvmSecureConfigurationAssessmentKB

DeviceTvmSoftwareEvidenceBeta

DeviceTvmSoftwareInventory

DeviceTvmSoftwareVulnerabilities

DeviceTvmSoftwareVulnerabilitiesKB

露出管理

ExposureGraphEdges

ExposureGraphNodes

Discussion