説明
ボックス 1: AzureActivity
AzureActivity テーブルには、Microsoft Sentinel を含む多くのサービスからのデータが含まれています。Microsoft Sentinel からのデータのみをフィルター処理するには、次のコードでクエリを開始します。
ボックス2: autocluster()
例: 説明: |
ストレージキーの一覧表示はAzureにおける興味深い操作であり、VMへのアクセスを許可するだけでなく、追加のシークレットや個人情報（PII）を呼び出し元に公開する可能性があります。この種の無害な操作は数多くありますが、このアクティビティを実行しているアカウントや、その実行元IPアドレスが異常なものであるかどうかを確認することは興味深いでしょう。
以下のクエリは、呼び出し元ごとにIPアドレスの既知のクラスターを生成します。単一の操作のみを行ったユーザーはこのリストに表示されないことに注意してください。これは、このリストでは通常のアクティビティ（単一のイベントのみに基づく）を学習できないためです。ストレージアカウントキーを一覧表示するアクティビティは、この学習済みの想定アクティビティのクラスターと相関関係にあり、想定外のアクティビティが返されます。AzureActivity
| OperationNameValue =~ "microsoft.storage/storageaccounts/listkeys/action" の場合
| ActivityStatusValue == "成功"
| 結合種類=内部(
Azureアクティビティ
| OperationNameValue =~ "microsoft.storage/storageaccounts/listkeys/action" の場合
| ActivityStatusValue == "成功"
| プロジェクト ExpectedIpAddress=CallerIpAddress、発信者
| autocluster() を評価する
）発信者
| ここで、CallerIpAddress != ExpectedIpAddress
| StartTime = min(TimeGenerated)、EndTime = max(TimeGenerated)、ResourceIds = make_set(ResourceId)、ResourceIdCount = dcount(ResourceId) を OperationNameValue、Caller、CallerIpAddress で集計します。
| タイムスタンプを拡張 = StartTime、AccountCustomEntity = 発信者、IPCustomEntity = 発信者IpAddress 参照:
https://github.com/Azure/Azure-Sentinel/blob/master/Hunting%20Queries/AzureActivity/Anomalous_Listing_O

説明
ボックス1: 参加
内部結合。
このクエリは kind=inner を使用して内部結合を指定し、DeviceId の左側の値の重複を防ぎます。
このクエリは、DeviceInfo テーブルを使用して、侵害の可能性があるユーザー (<account-name>) がデバイスにログオンしているかどうかを確認し、それらのデバイスでトリガーされたアラートを一覧表示します。
デバイス情報
//侵害された可能性のあるアカウントがログオンしたデバイスを照会する
| LoggedOnUsers に '<アカウント名>' が含まれる
| 異なるデバイスID
// AlertEvidenceテーブルとAlertInfoテーブルのアラートレコードとデバイスをクロスチェックする
| DeviceId の kind=inner AlertEvidence に参加
| プロジェクトアラートID
//ユーザーがログオンしたデバイス上のすべてのアラートを一覧表示します
| AlertIdでAlertInfoに参加
| プロジェクトのアラートID、タイムスタンプ、タイトル、重大度、カテゴリ
DeviceInfo LoggedOnUsers AlertEvidence "プロジェクト AlertID"
ボックス2: プロジェクト
参照：
https://docs.microsoft.com/en-us/microsoft-365/security/defender/advanced-hunting-query-emails-devices?view

Azure Security Center (現在は Microsoft Defender for Cloud の一部) では、セキュリティ アラートを受け取ったときに、それを調査して原因、影響、および解決の推奨事項を把握できます。
質問で説明されているワークフローは、アラートを調査するための Microsoft の文書化されたプロセスと正確に一致しています。
セキュリティ警告ページから:
* 特定のアラートを選択すると、アラートの詳細ペインが開きます。
* [アクションを実行] を選択すると、修復オプションと推奨される次の手順が表示されます。
* 「将来の攻撃を防ぐ」セクションを展開します。このセクションでは、アラートに直接関連する推奨事項と強化ガイダンスが提供され、同様の問題が再発するのを防ぐのに役立ちます。
このセクションは、Microsoft Defender for Cloud のドキュメントで具体的に説明されています。
「アラートの詳細ページで、[アクションを実行] を選択して修復手順を表示します。Defender for Cloud の [今後の攻撃を防ぐ] の下に、脅威を軽減または防止できる関連するセキュリティ推奨事項とアクションが一覧表示されます。」したがって、このソリューションは、[アクションを実行] を選択して [今後の攻撃を防ぐ] を展開すると、そのアラートに関連付けられている推奨修復手順が直接表示されるため、目的を達成します。