Office 365プラン 2 のMicrosoft Defenderでの自動調査と対応 (AIR)

ヒント

Microsoft Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 サインアップできるユーザーと試用版の条件については、「Microsoft Defender for Office 365 を試す」を参照してください。

https://security.microsoft.com/alertsの Microsoft 365 organizationにセキュリティ アラートが表示される場合は、セキュリティ操作 (SecOps) チームがそれらのアラートの確認、優先順位付け、対応を行う必要があります。 受信アラートの量に追いついていると、圧倒的な可能性があります。 これらのタスクの一部を自動化すると役立ちます。

Office 365 プラン 2 (E5 などの Microsoft 365 ライセンスまたはスタンドアロン サブスクリプションに含まれる) のMicrosoft Defenderには、SecOps チームの時間と労力を節約する強力な自動調査と対応 (AIR) 機能が含まれています。

AIR は、organization レベルの調査を完了することで、影響の大きい大量のアラートをトリアージします。 AIR 調査は検出を拡大するか、追加の分析を提供して、organizationの脅威の状態を判断します。 AIR は脅威を識別すると、SecOps 担当者が承認する脅威修復アクションをキューに入れます。 AIR を使用すると、次の利点が得られます。

• 既知の脅威に対応する自動調査プロセス。
• 承認待ちの適切な修復アクション。SecOps チームが検出された脅威に効果的に対応できるようにします。
• SecOps チームは、トリガーされる重要なアラートを見失うことなく、優先度の高いタスクに集中できます。

Defender for Office 365 Plan 2 の AIR では、監査ログがオンになっている必要があります (既定ではオンになっています)。

AIR の全体的な流れ

アラートがトリガーされ、セキュリティ プレイブックによって自動調査が開始され、結果が得られ、推奨されるアクションが生成されます。 AIR の全体的なフローを次に示します。手順は次のとおりです。

1. 自動調査は、次のいずれかの方法で開始されます。

   • AIR を開始するように設計された特定のアラート。 これらのアラートには、次のものが含まれます。

     • 疑わしい情報がメール (メッセージ自体、添付ファイル、URL、侵害されたユーザー アカウントなど) で識別されます。

     • 0 時間自動消去 (ZAP)。

     • ユーザー申請。

     • ユーザーがアラートをクリックします。

     • 疑わしいメールボックスの動作。

       ヒント

       organizationのアラートを定期的に確認してください。 自動調査をトリガーするアラート ポリシーの詳細については、「 脅威管理」カテゴリの既定のアラート ポリシーを参照してください。 [自動調査] の [はい] の値を含むエントリは、自動調査をトリガーできます。 AIR は、次の場合にトリガーされません。

       • これらのアラートは無効になっています。
       • これらのアラートは、カスタム アラートに置き換えられます。

   • セキュリティ アナリストは、脅威エクスプローラー、高度なハンティング、カスタム検出、Email エンティティ ページ、またはEmailの概要パネルで[アクションの実行] を選択して、調査を手動でトリガーします。 詳細については、「脅威ハンティング: Email修復」を参照してください。 例については、「Office 365 Plan 2 のMicrosoft Defenderの自動調査と応答 (AIR) の例」を参照してください。

2. 自動調査では、アラートの性質、関連するメッセージ、およびメッセージを取り巻くより多くの証拠が評価および分析されます。 調査の範囲は、調査中に発見および収集された証拠に基づいて増加する可能性があります。

3. 自動調査中および自動調査後に、 詳細と結果 を入手できます。 結果には、検出された脅威を修復するために SecOps 担当者に 推奨されるアクション が含まれる場合があります。

4. SecOps チームは、調査自体、インシデント、またはアクション センターの 調査結果と推奨事項 を確認し、 修復アクションを承認または拒否します。

   ヒント

   悪意のある類似性クラスターの修復を完全に自動化するために、自動調査と応答 (AIR) の自動修復機能を拡張しました。 2025 年には、悪意のある URL とファイル クラスターの自動修復が導入されました。 この機能強化により、AIR は生成されたすべての保留中の修復アクションを自動的に承認できます。 この機能により、手動による介入が不要になり、SOC チームの応答プロセスが合理化されます。

   また、AIR は、脅威が見つからなかったアラートとインシデントを評価して自動的に解決することで、時間を節約します。 この結果は、ユーザー送信シナリオで一般的です。 脅威が見つからなかったか、既に修復されたメッセージで脅威が見つかった場合、AIR は調査を終了します。

5. 保留中の修復アクションが承認または拒否されると、自動調査が完了します。

   推奨されるアクションが特定されない場合、自動調査は自動的に終了します。 調査の詳細は、https://security.microsoft.com/airinvestigationの [調査] ページで引き続き確認できます。

SecOps チームは、自動調査の実行中と自動調査後に、次のタスクを実行できます。

• 調査に関連するアラートの詳細を表示する
• 調査の結果の詳細を表示する
• 調査の結果としてアクションを確認および承認する

組み込みのアラート チューニング ルール

Microsoft Defender XDRには、一般的な良性アクティビティからのレポート ノイズを減らすのに役立つ組み込みのアラート チューニング ルールが含まれています。 これらの組み込みルールは、AIR 調査や電子メール通知などの他の機能に影響を与えずにアラートを抑制します。 AIR 調査で悪意のあるアクティビティまたは疑わしいアクティビティが検出された場合は、新しいアラートが再アクティブ化されます。

Microsoft Defender ポータルで組み込みのアラート チューニング ルールを確認するには、[System>Settings>Microsoft Defender XDR>Rules] セクション >Alert チューニングに関するセクションに移動するか、https://security.microsoft.com/securitysettings/defender/alert_suppressionの [アラートのチューニング] ページで直接確認します。

これらのルールを確認して、Microsoft Defender ポータルに表示されるアラートに与える影響を理解してください。

注:

Microsoft Security Copilotフィッシングトリアージエージェントは、アラートチューニングによって抑制されたアラートを分類しません。 自動解決 - Emailマルウェアまたはフィッシングの組み込みアラートチューニングルールとしてユーザーによって報告され、このアラートを抑制するカスタムチューニングルールを無効にしてください。

AIR に必要なアクセス許可とライセンス

AIR を使用するには、アクセス許可が割り当てられている必要があります。 以下のオプションがあります。

• Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションEmail &場合>Office 365アクセス許可の定義がアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。
  • 自動調査を開始するか、推奨されるアクションを承認または拒否する: セキュリティ操作/Email高度な修復アクション (管理)。
• Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &します。
  • AIR 機能の設定: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。
  • 自動調査を開始 するか、 推奨されるアクションを承認または拒否します。
    • Organization Management、Security Administrator、Security Operator、Security Reader、または Global Reader ロール グループのメンバーシップ。
    • [検索と消去] ロール。既定では、データ調査担当者または組織管理ロール グループにのみ割り当てられます。 または、検索ロールと消去ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加することもできます。
• Microsoft Entraアクセス許可: Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
  • AIR 機能を設定するグローバル管理者ロールまたはセキュリティ管理者ロールのメンバーシップ。
  • 自動調査を開始 するか、 推奨されるアクションを承認または拒否します。
    • グローバル管理者、セキュリティ管理者、セキュリティ オペレーター、セキュリティ 閲覧者、またはグローバル閲覧者ロールのメンバーシップ。 and
    • 前に説明したように、Search ロールと Purge ロールが割り当てられているEmail &コラボレーション ロール グループのメンバーシップ。

自動調査と応答 (AIR) を使用するには、Office 365 プラン 2 のライセンス (対象となるサブスクリプションに含まれるか、アドオンとして利用できる) のMicrosoft Defenderが必要です。

次の手順

• AIR の例
• 自動調査の詳細と結果を表示する
• 保留中のアクションを確認して承認する
• 保留中または完了した修復アクションを表示する