自動調査の概要

適用対象:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

プラットフォーム

• Windows

その仕組みについて知りたい場合は、 次のビデオをご覧ください。

自動調査のテクノロジは、さまざまな検査アルゴリズムを使用し、セキュリティ アナリストが使用するプロセスに基づいています。 AIR 機能は、アラートを調査し、侵害を解決するために直ちにアクションを実行するように設計されています。 AIR 機能により、アラートの量が大幅に削減されるため、セキュリティ運用はより高度な脅威やその他の価値の高いイニシアチブに集中できます。 保留中か完了済みかにかかわらず、すべての修復アクションは、Action センターで追跡されます。 アクション センターでは、保留中のアクションが承認 (または拒否) され、完了したアクションは必要に応じて元に戻すことができます。

この記事では、AIR の概要について説明し、次の手順とその他のリソースへのリンクを示します。

ヒント

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

自動調査の開始方法

自動調査は、アラートがトリガーされたとき、またはセキュリティオペレーターが調査を開始したときに開始できます。

状況	動作
アラートがトリガーされる	一般に、 アラート がトリガーされ、 インシデント が作成されると、自動調査が開始されます。 たとえば、悪意のあるファイルがデバイスに存在するとします。 そのファイルが検出されると、アラートがトリガーされ、インシデントが作成されます。 デバイスで自動調査プロセスが開始されます。 他のデバイス上の同じファイルのために他のアラートが生成されると、関連するインシデントと自動調査に追加されます。
調査が手動で開始される	自動調査は、セキュリティ運用チームが手動で開始できます。 たとえば、セキュリティオペレーターがデバイスの一覧を確認していて、デバイスのリスクレベルが高いことがわかります。 セキュリティオペレーターは、一覧でデバイスを選択してポップアップを開き、[ 自動調査の開始] を選択できます。

自動調査の範囲を拡大する方法

調査の実行中に、その調査が完了するまで、デバイスから生成されたその他のアラートは、進行中の自動調査に追加されます。 さらに、他のデバイスで同じ脅威が見られる場合は、それらのデバイスが調査に追加されます。

別のデバイスで犯罪エンティティが見られる場合、自動調査プロセスはそのデバイスを含むようにスコープを拡張し、そのデバイスで一般的なセキュリティ プレイブックが開始されます。 この拡張プロセス中に同じエンティティから 10 台以上のデバイスが見つかった場合、その拡張アクションには承認が必要であり、[保留中の アクション ] タブに表示されます。

脅威の修復方法

アラートがトリガーされ、自動調査が実行されると、調査された証拠ごとに判定が生成されます。 判定は次のとおりです:

• 悪意のある;
• 疑わしい。または
• 脅威が見つかりませんでした。

判定に達すると、自動調査によって 1 つ以上の修復アクションが発生する可能性があります。 修復アクションの例としては、検疫へのファイルの送信、サービスの停止、スケジュールされたタスクの削除などがあります。 詳細については、「 修復アクション」を参照してください。

organizationに対して設定された自動化のレベルやその他のセキュリティ設定に応じて、修復アクションは自動的に実行されるか、セキュリティ運用チームによる承認時にのみ実行されます。 自動修復に影響を与える可能性のある追加のセキュリティ設定には、 望ましくない可能性のあるアプリケーション (PUA) からの保護が含まれます。

保留中か完了済みかにかかわらず、すべての修復アクションは、Action センターで追跡されます。 必要に応じて、セキュリティ運用チームは修復アクションを元に戻すことができます。 詳細については、 自動調査の後の修復アクションの確認と承認に関するページを参照してください。

ヒント

Microsoft Defender ポータルの新しい統合された調査ページを確認してください。 詳細については、 統合調査に関するページを参照してください。

AIR の要件

サブスクリプションには 、Defender for Endpoint または Defender for Business が含まれている必要があります。

注:

自動調査と応答では、パッシブ モードまたはアクティブ モードで実行するには、Microsoft Defenderウイルス対策が必要です。 Microsoft Defenderウイルス対策が無効になっているかアンインストールされている場合、自動調査と応答は正しく機能しません。

現在、AIR では次の OS バージョンのみがサポートされています。

• Windows Server 2012 R2 (プレビュー)
• Windows Server 2016 (プレビュー)
• Windows Server 2019
• Windows Server 2022
• Windows 10バージョン 1709 (OS ビルド 16299.1085 とKB4493441) 以降
• Windows 10バージョン 1803 (OS ビルド 17134.704 とKB4493464) 以降
• Windows 10バージョン 1803 以降
• Windows 11

注:

Windows Server 2012 R2 とWindows Server 2016に対する自動調査と対応には、統合エージェントをインストールする必要があります。

次の手順

• オートメーション レベルの詳細
• 対話型ガイドを参照してください:Microsoft Defender for Endpointを使用して脅威を調査して修復する
• Microsoft Defender for Endpointで自動調査と修復機能を構成する

関連項目

• PUA 保護
• Microsoft Defender for Office 365での自動調査と対応
• Microsoft Defender XDRでの自動調査と対応

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。