次の方法で共有


Microsoft Defender for Businessでのインシデントの表示と管理

脅威が検出されアラートがトリガーされると、インシデントが作成されます。 会社のセキュリティ チームは、Microsoft Defender ポータルでインシデントを表示および管理できます。 この記事のタスクを実行するには、適切なアクセス許可が割り当てられている必要があります。 Microsoft Defender for Businessの「セキュリティ ロールとアクセス許可」を参照してください。

この記事には、次のものが含まれます

インシデント & アラートを監視する

  1. Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [インシデント] & アラートに移動し、[インシデント] を選択します。 作成されたすべてのインシデントがページに一覧表示されます。

    重要

    でタグ付けされたインシデントが表示される Attack disruption場合は、高度な攻撃が検出されたことを意味します。 「自動攻撃の中断」を参照してください。

  2. アラートを選択してポップアップ ウィンドウを開き、アラートの詳細を確認できます。

    ポップアップを開いた状態で選択されたインシデントのスクリーンショット

  3. ポップアップ ウィンドウでは、アラート タイトルを表示したり、影響を受けた資産 (デバイスやユーザー アカウントなど) の一覧を表示したり、使用可能なアクションを実行したり、リンクを使用して詳細情報を表示したり、選択したアラートの詳細ページを開いたりすることもできます。

ヒント

Defender for Business は、実行できるアクションを推奨することで、検出された脅威に対処できるように設計されています。 アラートを表示したら、これらの候補を探します。 また、検出された脅威の重大度に基づいてだけでなく、会社に対するリスクレベルに基づいて決定されるアラートの重大度にも注目してください。

アラートの重大度

脅威が検出されると、生成される各アラートに重大度レベルが割り当てられます。

  • Microsoft Defenderウイルス対策では、検出された脅威の絶対重大度 (マルウェアなど) と潜在的なリスクに基づいてアラートの重大度が個々のデバイスに割り当てられます (感染した場合)。
  • Defender for Business は、検出された動作の重大度、デバイスへの実際のリスク、さらに重要なことに、会社に潜在的なリスクに基づいてアラートの重大度を割り当てます。

次の表に、アラートとその重大度レベルの例をいくつか示します。

シナリオ アラートの重大度と理由
自動攻撃中断は 高度な攻撃を検出し、攻撃の進行を防ぐのに役立つデバイスまたはユーザー アカウントを含みます。 。 攻撃の中断機能は、IT/セキュリティ チームが攻撃に対処できるように攻撃を含めるのに役立ちます。
Microsoft Defenderウイルス対策は、脅威を検出して停止してから損害を与えます。 情報。 脅威は、損害が発生する前に停止しました。
Microsoft Defenderウイルス対策は、社内で実行されていたマルウェアを検出します。 マルウェアが停止し、修復されます。 。 個々のデバイスに何らかの損害が発生した可能性がありますが、マルウェアは現在、あなたの会社に脅威を与えるわけではありません。
実行中のマルウェアが Defender for Business によって検出されます。 マルウェアはほぼすぐにブロックされます。 または 。 マルウェアは、個々のデバイスや会社に脅威を与えます。
疑わしい動作は検出されますが、修復アクションはまだ実行されません。 、または 。 重大度は、行動が会社に脅威を与える度合いによって異なります。

次の手順