エンドポイントでの検出と対応の概要
適用対象:
Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。
Defender for Endpoint のエンドポイント検出と応答機能は、ほぼリアルタイムで実用的な高度な攻撃検出を提供します。 セキュリティ アナリストは、効率的にアラートの優先順位を設定し、違反の全容を可視化して、脅威に対処する対応策を講じることができます。
脅威が検出されると、システムでアラートが生成され、アナリストが調査します。 同じ攻撃技法のアラートや同じ攻撃者によるアラートは、incident と呼ばれるエンティティに集約されます。 この方法でアラートを集約すると、アナリストは脅威への総合的な調査や対応が簡単にできるようになります。
注:
Defender for Endpoint 検出は、特定のエンドポイントで発生するすべての操作またはアクティビティを記録する監査またはログ記録ソリューションを意図したものではありません。 センサーには内部調整メカニズムがあるため、同じイベントを繰り返す頻度が高い場合でもログがあふれません。
重要
Defender for Endpoint Plan 1 と Microsoft Defender for Business には、次の手動対応アクションのみが含まれます:
- ウイルス対策スキャンの実行
- デバイスの分離
- ファイルの停止と検疫。
- ファイルのブロックまたは許可するインジケーターの追加
Defender for Endpoint は、"侵害を想定する" 考え方に触発され、行動サイバー テレメトリを継続的に収集します。 これには、プロセス情報、ネットワーク活動、カーネルおよびメモリ マネージャーの詳細分析、ユーザー ログイン活動、レジストリとファイル システムの変更内容などが含まれます。 この情報は 6 か月間保存されるため、アナリストは攻撃の開始時点まで時間を遡ることができます。 そのアナリストは各種ビューをピボットして、複数のベクトルから調査に取り組むことができます。
対応機能により、影響を受けているエンティティに対策を講じることで、すばやく脅威に対処できるようになります。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。