次の方法で共有


Microsoft Defender for Businessでの自動攻撃の中断

人間が操作する攻撃は、organizationに侵入し、特権を昇格させ、ネットワークをナビゲートし、ランサムウェアを展開したり、情報を盗んだりするサイバー犯罪者による積極的な攻撃です。 これらの種類の攻撃は、ビジネス運用にとって致命的な可能性があり、対処が困難になる傾向があり、最初の遭遇後も引き続きビジネス運用を脅かす場合があります。 詳細については、「 人間が操作するランサムウェア攻撃」を参照してください。

人間が操作する攻撃やその他の高度な攻撃から保護するために、Microsoft Defender XDRは、企業のお客様に対して 2022 年 11 月に自動攻撃の中断を追加しました。 現在、これらの機能は Defender for Business に登場しています。 この記事では、自動攻撃の中断のしくみ、攻撃の詳細を表示する方法、およびこれらの機能を取得する方法について説明します。

自動攻撃の中断のしくみ

自動攻撃の中断は、次の目的で設計されています。

  • 進行中の高度な攻撃を含めます。
  • ビジネス資産 (デバイスなど) に対する攻撃の影響と進行を制限する。そして
  • IT/セキュリティ チームが攻撃を完全に修復するための時間を増やします。

自動攻撃の中断では、Microsoft セキュリティ研究者や高度な AI モデルからの分析情報を使用して、高度な攻撃の複雑さを打ち消します。 これは、脅威アクターの早い段階での進行状況を制限し、関連するコストから生産性の損失まで、攻撃の全体的な影響を劇的に軽減します。 Microsoft セキュリティ ブログで、いくつかの例を参照してください。

自動攻撃の中断により、人が操作する攻撃がデバイスで検出されるとすぐに、影響を受けるデバイスとユーザー アカウントをデバイスに含める手順が直ちに実行されます。 インシデントは、Microsoft Defender ポータル (https://security.microsoft.com) で作成されます。 IT/セキュリティ チームは、プロセス中およびプロセス後に侵害された資産のリスクと封じ込め状態に関する詳細を表示できます。 [インシデント] ページには、攻撃の詳細と、影響を受ける資産の最新の状態が表示されます。

自動応答アクションには、次のものが含まれます。

  • 受信/送信通信をブロックしてデバイスを含める
  • デバイス レベルで現在のユーザー接続を切断してユーザー アカウントを含める

重要

  • 検出された高度な攻撃に関する情報を表示するには、セキュリティ閲覧者、セキュリティ管理者、またはグローバル管理者ロールが割り当てられている必要があります。
  • 修復アクションを実行したり、含まれているデバイス/ユーザーを解放したり、ユーザー アカウントを再度有効にしたりするには、セキュリティ管理者ロールまたはグローバル管理者ロールが割り当てられている必要があります。
  • Defender for Business のセキュリティ ロールとアクセス許可に関するページを参照してください。

Microsoft Defender ポータルで攻撃の詳細を表示する

  1. Microsoft Defender ポータルで、[インシデント] に移動します

  2. [攻撃の中断] でタグ付けされたインシデントを選択します。

  3. インシデント グラフを確認します。これにより、攻撃のストーリー全体を取得し、攻撃の中断の影響と状態を評価できます。

  4. 含まれているデバイスまたはユーザー アカウントを解放する準備ができたら、またはユーザー アカウントを再度有効にする準備ができたら、次のいずれかの手順を実行します。

    • 包含デバイスを解放するには、デバイスを選択し、[ 包含から解放] を選択します。
    • 包含ユーザーを解放するには、ユーザー アカウントを選択し、サイド ウィンドウで [ 元に戻す] を選択します。

中断されたインシデントには、 の Attack Disruption タグと、特定の脅威の種類 (ランサムウェアなど) が含まれます。 IT/セキュリティ チームが インシデントの電子メール通知を受け取った場合、これらのタグは電子メールにも表示されます。

インシデントが中断されると、インシデント タイトルの下に強調表示されたテキストが表示されます。 包含デバイスまたはユーザー アカウントは、その状態を示すラベルと共に一覧表示されます。

アクション センターで攻撃中断アクションを追跡する

アクション センターでは、それらのアクションが自動的に実行されたか手動で実行されたかに関係なく、すべての修復アクションと応答アクションがまとめられます。 アクション センターでは、すべての自動攻撃中断アクションを表示できます。 また、IT/セキュリティ チームがリスクを軽減し、インシデントの調査を完了した後、包含資産を解放できます。

  1. Microsoft Defender ポータルで、[アクション] & 申請アクション センターに>移動します。

  2. [ 履歴 ] タブを選択します。

  3. [ ユーザーを含む ] や [デバイスを 含む] などのアクションを選択し、[ 元に戻す] を選択します。

詳細については、「 アクション センターで修復アクションを確認する」を参照してください。

自動攻撃の中断を取得する方法

自動攻撃の中断は Defender for Business に組み込まれています。これらの機能を明示的に有効にする必要はありません。 できるだけ早く保護されるように、organizationのすべてのデバイス (コンピューター、電話、タブレット) を Defender for Business にオンボードすることが重要です。

さらに、サインアップして プレビュー機能 を受け取り、利用可能になるとすぐに最新かつ最も優れた機能を利用できるようにします。