Microsoft Defender for Endpoint アラートを管理する
- [アーティクル]
-
-
適用対象:
Defender for Endpoint を試す場合は、
無料試用版にサインアップしてください。
Defender for Endpoint は、アラートを通じて、悪意のあるイベント、属性、コンテキスト情報の可能性を通知します。 新しいアラートの概要が表示され、 アラート キュー内のすべてのアラートにアクセスできます。
アラートを管理するには、 アラート キューでアラートを選択するか、個々のデバイスの [デバイス] ページの [ アラート ] タブを選択します。
これらの場所のいずれかでアラートを選択すると、[ アラート管理] ウィンドウが表示されます。
新しいMicrosoft Defender for Endpointアラート ページを使用する方法については、このビデオをご覧ください。
アラートから新しいインシデントを作成したり、既存のインシデントにリンクしたりできます。
アラートがまだ割り当てられていない場合は、[ 自分に割り当てる ] を選択してアラートを自分に割り当てることができます。
アラートがMicrosoft Defender XDRに表示されないようにする必要がある場合があります。 Defender for Endpoint を使用すると、organizationの既知のツールやプロセスなど、無害であることが知られている特定のアラートの抑制ルールを作成できます。
抑制ルールは、既存のアラートから作成できます。 必要に応じて、無効にして再び有効にすることができます。
抑制ルールが作成されると、ルールが作成された時点から有効になります。 ルールは、ルールの作成前に、キューに既に存在するアラートには影響しません。 ルールは、ルールの作成後に設定された条件を満たすアラートにのみ適用されます。
抑制ルールには、次の 2 つのコンテキストから選択できます。
-
このデバイスでアラートを抑制する
-
organizationでのアラートの抑制
ルールのコンテキストを使用すると、ポータルに表示される内容を調整し、実際のセキュリティ アラートのみがポータルに表示されるようにすることができます。
次の表の例を使用すると、抑制ルールのコンテキストを選択するのに役立ちます。
Context |
定義 |
シナリオ例 |
このデバイスでアラートを抑制する |
同じアラート タイトルを持ち、その特定のデバイス上のアラートのみが抑制されます。 そのデバイス上の他のすべてのアラートは抑制されません。 |
- セキュリティ研究者が、organization内の他のデバイスを攻撃するために使用された悪意のあるスクリプトを調査しています。
- 開発者は、チームの PowerShell スクリプトを定期的に作成します。
|
organizationでのアラートの抑制 |
どのデバイスでも同じアラート タイトルを持つアラートは抑制されます。 |
- 問題のない管理ツールは、organizationのすべてのユーザーによって使用されます。
|
アラートを抑制または解決するタイミングを制御するカスタム ルールをCreateします。 アラートのタイトル、侵害のインジケーター、および条件を指定することで、アラートが抑制されたときのコンテキストを制御できます。 コンテキストを指定すると、アラートのアクションとスコープを構成できるようになります。
抑制するアラートを選択します。 これにより、[ アラート管理 ] ウィンドウが表示されます。
抑制ルールCreate選択します。
これらの属性を使用して抑制条件を作成できます。 各条件の間に AND 演算子が適用されるため、抑制は、すべての条件が満たされた場合にのみ発生します。
- SHA1ファイル
- ファイル名 - ワイルドカードがサポートされています
- フォルダー パス - ワイルドカードがサポートされています
- IP アドレス
- URL - ワイルドカードがサポートされています
- コマンド ライン - ワイルドカードがサポートされています
[ トリガー IOC] を選択します。
アラートのアクションとスコープを指定します。
アラートを自動的に解決するか、ポータルで非表示にすることができます。 自動的に解決されるアラートは、アラート キュー、アラート ページ、デバイス タイムラインの解決済みセクションに表示され、Defender for Endpoint API 全体で解決済みとして表示されます。
非表示としてマークされたアラートは、デバイスに関連付けられたアラートとダッシュボードの両方でシステム全体から抑制され、Defender for Endpoint API 間でストリーミングされることはありません。
ルール名とコメントを入力します。
[保存] をクリックします。
ナビゲーション ウィンドウで、[設定] [エンドポイントルール]> [アラート抑制]> の順に>選択します。
抑制ルールの一覧には、organizationのユーザーが作成したすべてのルールが表示されます。
抑制ルールの管理の詳細については、「抑制ルールの管理」を参照してください。
調査の進行に合わせて状態を変更することで、アラートを ( 新規、 進行中、または 解決済み) として分類できます。 これにより、チームがアラートに応答する方法を整理および管理できます。
たとえば、チーム リーダーはすべての 新しい アラートを確認し、さらに分析するために 進行中キューに 割り当てることを決定できます。
また、チーム リーダーは、アラートが問題ないことがわかっている場合、(セキュリティ管理者に属するデバイスなど)、または以前のアラートを介して処理されているデバイスから発生した場合に、解決 済 みキューにアラートを割り当てることができます。
分類を設定しないか、アラートが真のアラートか偽アラートかを指定できます。 真陽性/偽陽性の分類を提供することが重要です。 この分類は、アラートの品質を監視し、アラートをより正確にするために使用されます。 "判定" フィールドは、"真陽性" 分類の追加の忠実度を定義します。
アラートを分類する手順は、次のビデオに含まれています。
アラートに対する以前の変更を確認するには、コメントを追加したり、アラートに関する履歴イベントを表示したりできます。
アラートに変更またはコメントが加えられた場合は常に、[ コメントと履歴 ] セクションに記録されます。
追加されたコメントは直ちにウィンドウに表示されます。