Microsoft Defender for Endpointでアラートを確認する
- [アーティクル]
-
-
適用対象:
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
Microsoft Defender for Endpointのアラート ページでは、選択したアラートに関連する攻撃シグナルとアラートを組み合わせてアラートに完全なコンテキストを提供し、詳細なアラート ストーリーを構築します。
organizationに影響するアラートをすばやくトリアージし、調査し、効果的なアクションを実行します。 トリガーされた理由と、1 つの場所からの影響を理解します。 詳細については、この概要を参照してください。
Defender for Endpoint でアラートの名前を選択すると、アラート ページに移動します。 アラート ページでは、選択したアラートのコンテキストですべての情報が表示されます。 各アラート ページは、次の 4 つのセクションで構成されます。
- アラート タイトルには アラートの名前が表示され、ページで選択した内容に関係なく、現在の調査を開始したアラートを通知します。
- 影響を受ける資産には、 このアラートの影響を受けるデバイスとユーザーのカードが一覧表示され、詳細とアクションをクリックできます。
- アラート ストーリーには、ツリー ビューによって相互接続された、アラートに関連するすべてのエンティティが表示されます。 タイトルのアラートは、選択したアラートのページに最初に移動したときにフォーカスされるアラートになります。 アラート ストーリー内のエンティティは、アラート ページのコンテキストでアクションを実行できるようにすることで、追加情報を提供し、迅速な対応を行うために、展開およびクリック可能です。 アラート ストーリーを使用して調査を開始します。 「Microsoft Defender for Endpointでのアラートの調査」の方法について説明します。
- [詳細] ウィンドウには、最初に選択したアラートの詳細が表示され、このアラートに関連する詳細とアクションが表示されます。 アラート ストーリーで影響を受ける資産またはエンティティのいずれかを選択すると、選択したオブジェクトのコンテキスト情報とアクションが表示されるように詳細ウィンドウが変更されます。
アラートの検出状態をメモします。
禁止: 疑わしいアクションの試行は回避されました。 たとえば、ファイルがディスクに書き込まれていないか、実行されていません。
ブロック: 疑わしい動作が実行され、ブロックされました。 たとえば、プロセスが実行されましたが、その後疑わしい動作が発生したため、プロセスは終了しました。
検出: 攻撃が検出され、引き続きアクティブである可能性があります。
その後、アラートの詳細ウィンドウで 自動調査の詳細 を確認して、既に実行されたアクションを確認したり、推奨されるアクションに関するアラートの説明を読み取ることもできます。
アラートが開いたときに詳細ウィンドウで使用できるその他の情報には、MITRE の手法、ソース、その他のコンテキストの詳細が含まれます。
注意
[サポートされていないアラートの種類] アラートの状態が表示される場合は、自動調査機能がそのアラートを取得して自動調査を実行できないことを意味します。 ただし、 これらのアラートは手動で調査できます。
影響を受ける資産セクションでデバイスまたはユーザーカードを選択すると、詳細ウィンドウでデバイスまたはユーザーの詳細に切り替わります。
デバイスの場合、デバイス自体に関する情報 (ドメイン、オペレーティング システム、IP など) が詳細ウィンドウに表示されます。 アクティブなアラートとそのデバイスでログオンしているユーザーも使用できます。 デバイスを分離するか、アプリの実行を制限するか、ウイルス対策スキャンを実行することで、すぐにアクションを実行できます。 または、調査パッケージを収集したり、自動調査を開始したり、デバイス ページに移動してデバイスの観点から調査したりできます。
ユーザーの場合、詳細ウィンドウには、ユーザーの SAM 名や SID などの詳細なユーザー情報のほか、このユーザーによって実行されたログオンの種類と、それに関連するすべてのアラートとインシデントが表示されます。 [ ユーザー ページを開く ] を選択すると、そのユーザーの観点から調査を続行できます。