Microsoft Defender for Endpoint アラート キューを表示して整理する
- [アーティクル]
-
-
適用対象:
Defender for Endpoint を試す場合は、
無料試用版にサインアップしてください。
[アラート] キューには、ネットワーク内のデバイスからフラグが設定されたアラートの一覧が表示されます。 既定では、キューには、グループ化されたビューで過去 7 日間に表示されたアラートが表示されます。 一覧の上部に最新のアラートが表示され、最初に最新のアラートが表示されます。
注意
アラートは自動調査と修復によって大幅に削減され、セキュリティ運用の専門家は、より高度な脅威やその他の価値の高いイニシアチブに焦点を当てることができます。 サポートされているオペレーティング システムを持つデバイスに、自動調査用のサポートされているエンティティ (ファイルなど) がアラートに含まれている場合、自動調査と修復を開始できます。 自動調査の詳細については、「 自動調査の概要」を参照してください。
アラート ビューをカスタマイズするには、いくつかのオプションから選択できます。
上部のナビゲーションでは、次のことができます。
- 列をカスタマイズして列を追加または削除する
- フィルターの適用
- 1 日、3 日、1 週間、30 日、6 か月などの特定の期間のアラートを表示する
- アラートリストを Excel にエクスポートする
- 通知の管理
次のフィルターを適用して、アラートの一覧を制限し、アラートのより焦点を絞ったビューを取得できます。
アラートの重大度 |
説明 |
高 (赤) |
高度な永続的な脅威 (APT) に関連付けられている一般的なアラート。 これらのアラートは、デバイスに与える可能性のある損害の重大度が高いため、リスクが高いことを示します。 たとえば、資格情報の盗難ツールアクティビティ、グループに関連付けられていないランサムウェア アクティビティ、セキュリティ センサーの改ざん、または人間の敵対者を示す悪意のあるアクティビティなどがあります。 |
中 (オレンジ) |
高度な永続的な脅威 (APT) の一部である可能性があるエンドポイント検出と応答の侵害後の動作からのアラート。 これらの動作には、攻撃ステージの一般的な観察された動作、異常なレジストリの変更、疑わしいファイルの実行などが含まれます。 内部セキュリティ テストの一部である場合もありますが、高度な攻撃の一部でもある可能性があるため、調査が必要です。 |
低 (黄色) |
一般的なマルウェアに関連する脅威に関するアラート。 たとえば、ハッキング ツール、マルウェア以外のハッキング ツール (探索コマンドの実行、ログのクリアなど) は、多くの場合、organizationを対象とする高度な脅威を示していません。 また、organization内のユーザーによる分離されたセキュリティ ツールのテストからも発生する可能性があります。 |
情報 (灰色) |
ネットワークに有害と見なされない可能性があるが、潜在的なセキュリティの問題に対する組織のセキュリティ認識を促進する可能性のあるアラート。 |
Microsoft Defenderウイルス対策と Defender for Endpoint アラートの重大度は、スコープが異なるため異なります。
Microsoft Defenderウイルス対策の脅威の重大度は、検出された脅威 (マルウェア) の絶対的な重大度を表し、感染した場合は個々のデバイスに潜在的なリスクに基づいて割り当てられます。
Defender for Endpoint アラートの重大度は、検出された動作の重大度、デバイスに対する実際のリスクを表しますが、さらに重要なのは、organizationに対する潜在的なリスクです。
そのため、次に例を示します。
- Microsoft Defenderウイルス対策によって検出された脅威に関する Defender for Endpoint アラートの重大度は、防止され、デバイスに感染しなかった脅威は、実際の損傷がないため"Informational" に分類されます。
- 実行中に商用マルウェアに関するアラートが検出されましたが、Microsoft Defenderウイルス対策によってブロックされ、修復されました。これは、個々のデバイスに何らかの損害を与えた可能性がありますが、組織の脅威を引き起こしていない可能性があるため、"Low" に分類されます。
- 実行中に検出されたマルウェアに関するアラート。個々のデバイスだけでなく、最終的にブロックされたかどうかにかかわらず、organizationに脅威を与える可能性があるアラートは、"Medium" または "High" にランク付けされる可能性があります。
- ブロックまたは修復されなかった疑わしい動作アラートは、同じ組織の脅威に関する考慮事項に従って、"Low"、"Medium"、または "High" とランク付けされます。
[状態] に基づいてアラートの一覧をフィルター処理できます。
注意
[サポートされていないアラートの種類] アラートの状態が表示される場合は、自動調査機能がそのアラートを取得して自動調査を実行できないことを意味します。 ただし、 これらのアラートは手動で調査できます。
MITRE ATT&CK マトリックスのエンタープライズ攻撃戦術に合わせてアラート カテゴリを再定義しました。 新しいカテゴリ名は、すべての新しいアラートに適用されます。 既存のアラートでは、以前のカテゴリ名が保持されます。
次のサービス ソースに基づいてアラートをフィルター処理できます。
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- Microsoft Defender for Office 365
- アプリ ガバナンス
- Microsoft Entra ID 保護
Microsoft エンドポイント通知のお客様は、Microsoft Defender for Endpoint サービス ソースの下に入れ子になったMicrosoft Defenderエキスパートによってフィルター処理することで、サービスからの検出をフィルター処理して表示できるようになりました。
注意
ウイルス対策フィルターは、デバイスが既定のリアルタイム保護マルウェア対策製品としてMicrosoft Defenderウイルス対策を使用している場合にのみ表示されます。
アラートに割り当てられたタグに基づいてアラートをフィルター処理できます。
次のポリシーに基づいてアラートをフィルター処理できます。
検出ソース |
API 値 |
サード パーティ製センサー |
ThirdPartySensors |
ウイルス対策 |
WindowsDefenderAv |
自動調査 |
AutomatedInvestigation |
カスタム検出 |
CustomDetection |
カスタム TI |
CustomerTI |
EDR |
WindowsDefenderAtp |
Microsoft Defender XDR |
Mtp |
Microsoft Defender for Office 365 |
OfficeATP |
Microsoft Defenderエキスパート |
ThreatExperts |
Smartscreen |
WindowsDefenderSmartScreen |
エンティティ名または ID に基づいてアラートをフィルター処理できます。
自動調査の状態に基づいてアラートをフィルター処理できます。