<p><!--META { "title": "M365 Defender高度なハンティングKQL活用", "primary_category": "クラウド>Azure", "secondary_categories": ["セキュリティ","脅威ハンティング"], "tags": ["M365 Defender", "KQL", "Advanced Hunting", "Entra ID", "RBAC", "Sentinel"], "summary": "M365 Defenderの高度なハンティングでKQLを活用し、脅威をプロアクティブに特定・調査するためのアーキテクチャ、設定、運用、セキュリティ、コスト最適化、落とし穴を解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"M365 Defenderの高度なハンティングでKQLを活用し、セキュリティ脅威を効果的に検出・対応する方法を解説。アーキテクチャから運用、コスト最適化まで網羅。 #M365Defender #KQL #脅威ハンティング","hashtags":["#M365Defender","#KQL","#脅威ハンティング"]}, "link_hints": ["https://learn.microsoft.com/en-us/microsoft-365/security/defender/advanced-hunting-overview?view=m365-security-2024-03"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">M365 Defender高度なハンティングKQL活用</h1> <p>Microsoft 365 Defenderの高度なハンティングは、組織のセキュリティ体制を強化するための強力なツールです。Kusto Query Language (KQL) を用いて、統合されたM365環境からの生データ（デバイス、メール、ID、クラウドアプリなど）を深く掘り下げ、潜在的な脅威や異常な挙動をプロアクティブに特定・調査することが可能です。本記事では、M365 Defenderにおける高度なハンティングKQLの活用について、アーキテクチャ、設定、運用、セキュリティ、コスト、そして一般的な落とし穴に焦点を当てて解説します。</p> <h2 class="wp-block-heading">アーキテクチャ</h2> <p>M365 Defenderの高度なハンティングは、Microsoft 365エコシステム全体から収集されたテレメトリデータを一元的に分析する基盤を提供します。このアーキテクチャの中核は、各Defender製品（Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps）が収集する膨大なデータを統合し、KQLでクエリ可能なスキーマとして提供する点にあります。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["Microsoft 365 Services"] -->|テレメトリデータを収集| B("Microsoft 365 Defender") B -->|統合されたデータスキーマ| C{"高度なハンティング (KQL)"} C -->|KQLクエリの実行| D["セキュリティアナリスト"] D -->|脅威の特定・調査| E("インシデント管理") C -->|カスタム検出ルールとして保存| F["自動応答/アラート"] C -->|データのエクスポート/同期| G("Azure Sentinel / SIEM/SOAR") A -->|エンドポイント保護| A1("Defender for Endpoint") A -->|メール&コラボレーション| A2("Defender for Office 365") A -->|ID保護| A3("Defender for Identity") A -->|クラウドアプリ保護| A4("Defender for Cloud Apps") A1 --> B A2 --> B A3 --> B A4 --> B E -->|調査結果を反映| B </pre></div> <p>[1]</p> <p><strong>アーキテクチャの主要コンポーネント:</strong></p> <ul class="wp-block-list"> <li><p><strong>Microsoft 365 Services (A)</strong>: エンドポイント、メール、ID、クラウドアプリケーションなど、セキュリティイベントの発生源となる各サービス。</p></li> <li><p><strong>各Defender製品 (A1-A4)</strong>: それぞれの領域に特化した保護機能を提供し、対応するテレメトリデータを収集してM365 Defenderにフィードします。</p></li> <li><p><strong>Microsoft 365 Defender (B)</strong>: 各Defender製品からのデータを統合し、セキュリティインシデントの相関分析や高度なハンティングのためのプラットフォームを提供します。</p></li> <li><p><strong>高度なハンティング (C)</strong>: 統合されたデータに対してKQLクエリを実行し、脅威ハンティングや予防的検出を行うための主要機能です。</p></li> <li><p><strong>セキュリティアナリスト (D)</strong>: KQLクエリを作成・実行し、得られた結果を分析して脅威を特定します。</p></li> <li><p><strong>インシデント管理 (E)</strong>: 特定された脅威やアラートを管理し、対応プロセスを調整します。</p></li> <li><p><strong>自動応答/アラート (F)</strong>: KQLクエリを元にカスタム検出ルールを作成し、特定の条件が満たされた場合に自動でアラートを発したり、修復アクションをトリガーしたりします。</p></li> <li><p><strong>Azure Sentinel / SIEM/SOAR (G)</strong>: 高度なハンティングのデータをエクスポートし、より広範なセキュリティ情報イベント管理（SIEM）やセキュリティオーケストレーション自動応答（SOAR）システムと連携させることが可能です。</p></li> </ul> <h2 class="wp-block-heading">設定手順</h2> <p>高度なハンティングの利用には、適切なライセンスとアクセス権限の付与が必要です。</p> <h3 class="wp-block-heading">1. ライセンスの確認</h3> <p>高度なハンティングは、以下のMicrosoft 365ライセンスに含まれています [2]:</p> <ul class="wp-block-list"> <li><p>Microsoft 365 E5</p></li> <li><p>Microsoft 365 E5 Security</p></li> <li><p>Microsoft Defender for Endpoint P2</p></li> <li><p>Microsoft Defender for Office 365 P2</p></li> <li><p>Microsoft Defender for Identity</p></li> <li><p>Microsoft Defender for Cloud Apps (スタンドアロン)</p></li> <li><p>Microsoft Defender XDR (スタンドアロン)</p></li> </ul> <h3 class="wp-block-heading">2. アイデンティティと権限境界 (Entra ID / ロール)</h3> <p>高度なハンティング機能へのアクセスは、最小権限の原則に基づき、Microsoft Entra IDのロールとMicrosoft 365 Defenderポータル内のカスタムロールを通じて管理します [3]:</p> <ul class="wp-block-list"> <li><p><strong>Microsoft Entra ID ロール:</strong></p> <ul> <li><p><strong>セキュリティ管理者 (Security Administrator)</strong>: Defenderポータルへのフルアクセスを持ち、高度なハンティングを含むすべての設定と機能を利用できます。</p></li> <li><p><strong>セキュリティ閲覧者 (Security Reader)</strong>: Defenderポータルの読み取り専用アクセスを提供し、高度なハンティングクエリの実行と結果の閲覧が可能です。カスタム検出ルールの作成はできません。</p></li> <li><p><strong>グローバル閲覧者 (Global Reader)</strong>: Microsoft 365サービス全体の読み取り専用アクセスを提供しますが、Defenderポータルでの特定の操作には制約があります。</p></li> </ul></li> <li><p><strong>Microsoft 365 Defender ポータル内のカスタムロール:</strong> 特定のセキュリティチームやアナリストに対して、高度なハンティング機能（例：クエリの実行、カスタム検出ルールの作成、ライブレスポンスの実行）に限定した権限を付与するために利用します。</p></li> </ul> <p><strong>カスタムロールの作成例（PowerShell と Graph API を使用）:</strong></p> <p>PowerShellからMicrosoft Graph APIを利用して、高度なハンティングクエリの実行のみを許可するカスタムロールを作成する例は以下の通りです。この例では、<code>SecurityAction</code> と <code>ViewData</code> の権限を付与します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Microsoft Graph SDKをインストール（初回のみ） # Install-Module Microsoft.Graph -Scope CurrentUser # 認証（管理者権限で実行） Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory","AppRoleAssignment.ReadWrite.All" # カスタムロールの定義 $customRoleDefinition = @{ displayName = "Advanced Hunting Analyst (ReadOnly)" description = "Allows advanced hunting query execution and data viewing in M365 Defender." isEnabled = $true templateId = "00000000-0000-0000-0000-000000000000" # カスタムロールにはテンプレートIDが不要 resourceScopes = @("/") # 高度なハンティングクエリの実行とデータ閲覧に必要なアクション allowedResourceActions = @( "microsoft.directory/securityActions/advancedHunting/runQuery" "microsoft.directory/securityActions/advancedHunting/viewQueryResults" "microsoft.directory/securityActions/advancedHunting/viewData" ) } # カスタムロールの作成 $newRole = New-MgDirectoryRoleDefinition -BodyParameter $customRoleDefinition Write-Host "カスタムロール $($newRole.DisplayName) (ID: $($newRole.Id)) が作成されました。" # 必要に応じて、このロールを特定のユーザーまたはグループに割り当てる # 例: 特定のユーザーに割り当てる場合 # $userId = (Get-MgUser -UserId "user@example.com").Id # New-MgDirectoryRoleAssignment -PrincipalId $userId -RoleDefinitionId $newRole.Id -ResourceScope "/" # 接続解除 Disconnect-MgGraph </pre> </div> <p><strong>注意</strong>: 上記のGraph APIの例は、Entra IDにおけるカスタムロールの一般的な管理方法を示していますが、M365 Defenderポータル内のカスタムロールは通常、GUIで設定することが推奨されます。Graph APIでDefenderポータル内の特定の機能に対するRBACを直接操作するのは複雑な場合があります。公式ドキュメントでは、Defenderポータル (<code>https://security.microsoft.com/settings/roles</code>) でカスタムロールを作成し、必要なアクセス許可（例: 高度なハンティングの実行、カスタム検出ルールの管理）を選択する方法が推奨されています [6]。</p> <h2 class="wp-block-heading">運用監視</h2> <p>高度なハンティングの運用監視には、KQLクエリのパフォーマンス、データ鮮度、およびカスタム検出ルールの効果の監視が含まれます。</p> <ul class="wp-block-list"> <li><p><strong>KQLクエリの最適化</strong>: 複雑なクエリや大量のデータに対するクエリは、実行に時間がかかることがあります。<code>where</code> 句で時間範囲を限定したり、効率的なテーブル結合（<code>join</code>）を使用したりするなど、KQLのベストプラクティスを適用してクエリを最適化します [5]。</p> <ul> <li>例: <code>DeviceProcessEvents | where Timestamp > ago(7d) | where InitiatingProcessFileName == "powershell.exe"</code></li> </ul></li> <li><p><strong>カスタム検出ルールの監視</strong>: 定期的にカスタム検出ルールが期待通りに機能しているか、誤検知が発生していないかを確認します。アラート履歴をレビューし、必要に応じてルールを調整します。</p></li> <li><p><strong>データ保持期間</strong>: M365 Defenderは、デフォルトで30日間のデータを保持します。Defender for Endpoint P2などの上位ライセンスでは、一部のデータタイプで最大180日まで保持期間を延長できます。長期的な分析が必要な場合は、データをAzure Sentinelなどにエクスポートしてカスタム保持ポリシーを適用することを検討します [1]。</p></li> <li><p><strong>SLAとバックアップ/DR</strong>: M365 Defender自体はMicrosoftが管理するSaaSサービスであるため、基盤のSLAはMicrosoftに依存します。ユーザー側で直接バックアップやDRを管理する必要はありませんが、エクスポートされたデータに関しては、Azure Sentinelのデータ保持ポリシーやストレージの冗長性設定によってDR戦略を確立します。</p></li> </ul> <h2 class="wp-block-heading">セキュリティ</h2> <p>高度なハンティングを安全に運用するためには、以下のセキュリティ対策が重要です。</p> <ul class="wp-block-list"> <li><p><strong>最小権限の原則</strong>: 前述の通り、高度なハンティング機能へのアクセスは、業務上必要最小限の権限を持つユーザーに限定します。</p></li> <li><p><strong>条件付きアクセス (CA)</strong>: M365 DefenderポータルへのアクセスにAzure AD Conditional Accessポリシーを適用し、多要素認証（MFA）の強制、信頼されたデバイスからのアクセスのみ許可、地理的制限などを設定します。これにより、未承認のアクセスリスクを低減します。</p> <ul> <li>例: セキュリティ管理者ロールを持つユーザーがM365 Defenderポータルにアクセスする際に、MFAと準拠デバイスを必須とするCAポリシー。</li> </ul></li> <li><p><strong>監査ログの活用</strong>: 高度なハンティングのクエリ実行履歴、カスタム検出ルールの作成・変更、自動応答の実行などは、M365 Defenderの監査ログに記録されます。これらのログを定期的に確認し、不正な操作や設定変更がないかを監視します。</p></li> </ul> <h2 class="wp-block-heading">コスト</h2> <p>M365 Defenderの高度なハンティング機能は、M365 E5などの上位ライセンスに含まれるため、追加のサービス費用は発生しません [2]。しかし、いくつかの間接的なコスト要因を考慮する必要があります。</p> <ul class="wp-block-list"> <li><p><strong>ライセンス費用</strong>: M365 E5やDefender for Endpoint P2などの上位ライセンスが必要であり、これが最も主要なコストとなります。組織の規模と必要なセキュリティレベルに応じて最適なライセンスを選択します。</p></li> <li><p><strong>ストレージコスト</strong>: 高度なハンティング自体でクエリ対象となる生データのストレージはライセンスに含まれます。しかし、長期的なデータ保持のためにAzure SentinelやAzure Storageアカウントにデータをエクスポートする場合、そのストレージ費用が発生します。</p></li> <li><p><strong>分析者の人件費</strong>: KQLによる高度なハンティングには専門的な知識が必要であり、セキュリティアナリストのトレーニングや配置にかかる人件費も考慮すべき重要なコストです。</p></li> <li><p><strong>コスト最適化</strong>:</p> <ul> <li><p><strong>KQLクエリの効率化</strong>: 無駄なリソース消費を避けるため、クエリを効率的に記述します。例えば、広範な時間範囲での集計や複雑な <code>join</code> 操作は、必要な場合に限定します。</p></li> <li><p><strong>データエクスポートの選別</strong>: Azure Sentinelなどへのデータエクスポートは、本当に必要なデータのみに絞り込むことで、ストレージコストを削減できます。</p></li> </ul></li> </ul> <h2 class="wp-block-heading">落とし穴</h2> <p>高度なハンティングKQL活用における一般的な落とし穴と、その回避策です。</p> <ul class="wp-block-list"> <li><p><strong>KQL知識の不足</strong>: KQLは強力ですが、その構文や最適なクエリ記述方法を習得するには時間と経験が必要です。</p> <ul> <li><strong>回避策</strong>: Microsoft LearnのKQL学習パスや、公式ドキュメントの豊富なサンプルクエリを活用し、積極的に学習します [4]。社内でのKQLトレーニング実施も有効です。</li> </ul></li> <li><p><strong>誤検知（False Positive）の多発</strong>: 適切にチューニングされていないカスタム検出ルールは、多数の誤検知を生成し、セキュリティアナリストの疲弊につながります。</p> <ul> <li><strong>回避策</strong>: ルールをデプロイする前に、既存のデータに対してテストクエリを実行し、過去の良性アクティビティを検出しないことを確認します。しきい値を調整し、常に検証と改善を繰り返します。</li> </ul></li> <li><p><strong>データ保持期間の誤解</strong>: デフォルトのデータ保持期間が30日であることを認識せず、必要な調査期間のデータが失われることがあります。</p> <ul> <li><strong>回避策</strong>: 組織のデータ保持ポリシーとM365 Defenderの保持期間を一致させ、必要に応じてAzure Sentinelへのデータエクスポートを計画・実施します。</li> </ul></li> <li><p><strong>過剰なアラートの通知</strong>: 自動応答ルールが多すぎたり、頻繁にトリガーされたりすると、重要なアラートが見逃される可能性があります。</p> <ul> <li><strong>回避策</strong>: アラートの優先度付けを行い、本当に対応が必要な高シビアリティのアラートに焦点を当てます。アラート疲労を避けるために、統合されたインシデント管理プラットフォーム（例: Microsoft Sentinel）でアラートを集約・相関分析します。</li> </ul></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>M365 Defenderの高度なハンティングは、KQLを駆使して組織のセキュリティ脅威をプロアクティブに特定し、対応するための不可欠なツールです。適切なライセンス、厳格なアクセス制御、そしてKQLの継続的な学習とクエリの最適化が成功の鍵となります。本記事で解説したアーキテクチャ、設定、運用、セキュリティ、コスト、そして落とし穴への理解を深めることで、M365 Defenderの高度なハンティングを最大限に活用し、堅牢なセキュリティ体制を構築できるでしょう。</p> <hr/> <p><strong>参考文献:</strong></p> <p>[1] Microsoft Learn. “Microsoft 365 Defender の高度なハンティングの概要”. 2024年4月10日更新. <code>https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/advanced-hunting-overview?view=m365-security-2024-03</code></p> <p>[2] Microsoft Learn. “Microsoft 365 Defender の前提条件”. 2024年4月10日更新. <code>https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/microsoft-365-defender-prerequisites?view=m365-security-2024-03#licensing-requirements</code></p> <p>[3] Microsoft Learn. “Microsoft 365 Defender での高度なハンティングに必要なアクセス許可”. 2024年4月10日更新. <code>https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/advanced-hunting-permissions?view=m365-security-2024-03</code></p> <p>[4] Microsoft Learn. “Microsoft 365 Defender の高度なハンティングの KQL クエリ例”. 2024年4月10日更新. <code>https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/advanced-hunting-examples?view=m365-security-2024-03</code></p> <p>[5] Microsoft Learn. “高度なハンティングのベスト プラクティス”. 2024年4月10日更新. <code>https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/advanced-hunting-best-practices?view=m365-security-2024-03</code></p> <p>[6] Microsoft Learn. “Microsoft 365 Defender でロールベースのアクセス制御 (RBAC) を管理する”. 2024年4月10日更新. <code>https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/manage-rbac?view=m365-security-2024-03</code></p>

graph TD
    A["Microsoft 365 Services"] -->|テレメトリデータを収集| B("Microsoft 365 Defender")
    B -->|統合されたデータスキーマ| C{"高度なハンティング (KQL)"}
    C -->|KQLクエリの実行| D["セキュリティアナリスト"]
    D -->|脅威の特定・調査| E("インシデント管理")
    C -->|カスタム検出ルールとして保存| F["自動応答/アラート"]
    C -->|データのエクスポート/同期| G("Azure Sentinel / SIEM/SOAR")
    A -->|エンドポイント保護| A1("Defender for Endpoint")
    A -->|メール&コラボレーション| A2("Defender for Office 365")
    A -->|ID保護| A3("Defender for Identity")
    A -->|クラウドアプリ保護| A4("Defender for Cloud Apps")
    A1 --> B
    A2 --> B
    A3 --> B
    A4 --> B
    E -->|調査結果を反映| B

# Microsoft Graph SDKをインストール（初回のみ）


# Install-Module Microsoft.Graph -Scope CurrentUser

# 認証（管理者権限で実行）

Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory","AppRoleAssignment.ReadWrite.All"

# カスタムロールの定義

$customRoleDefinition = @{
    displayName = "Advanced Hunting Analyst (ReadOnly)"
    description = "Allows advanced hunting query execution and data viewing in M365 Defender."
    isEnabled = $true
    templateId = "00000000-0000-0000-0000-000000000000" # カスタムロールにはテンプレートIDが不要
    resourceScopes = @("/")

    # 高度なハンティングクエリの実行とデータ閲覧に必要なアクション

    allowedResourceActions = @(
        "microsoft.directory/securityActions/advancedHunting/runQuery"
        "microsoft.directory/securityActions/advancedHunting/viewQueryResults"
        "microsoft.directory/securityActions/advancedHunting/viewData"
    )
}

# カスタムロールの作成

$newRole = New-MgDirectoryRoleDefinition -BodyParameter $customRoleDefinition
Write-Host "カスタムロール $($newRole.DisplayName) (ID: $($newRole.Id)) が作成されました。"

# 必要に応じて、このロールを特定のユーザーまたはグループに割り当てる


# 例: 特定のユーザーに割り当てる場合


# $userId = (Get-MgUser -UserId "user@example.com").Id


# New-MgDirectoryRoleAssignment -PrincipalId $userId -RoleDefinitionId $newRole.Id -ResourceScope "/"

# 接続解除

Disconnect-MgGraph