アラート分類プレイブック

[アーティクル]
04/26/2024

適用対象:

Microsoft Defender XDR

アラート分類プレイブックを使用すると、よく知られている攻撃のアラートを体系的に確認して迅速に分類し、攻撃を修復し、ネットワークを保護するための推奨アクションを実行できます。アラート分類は、インシデント全体を適切に分類するのにも役立ちます。

セキュリティ研究者またはセキュリティオペレーションセンター (SOC) アナリストは、次のことができるように、Microsoft Defender ポータルにアクセスできる必要があります。

生成されたアラートと関連するインシデントを評価して確認します。「アラートの調査」を参照してください。
テナントのセキュリティシグナルデータをSearchし、潜在的な脅威や疑わしいアクティビティのチェックします。高度なハンティングを参照してください。

注:

調査の最後だけでなく、調査プロセス中にも、真陽性と誤検知のアラートに関するフィードバックを Microsoft に提供できます。これは、Microsoft がセキュリティイベントの将来の分析と分類を行うのに役立ちます。

Microsoft Defender for Office 365

Microsoft Defender for Office 365は、メールメッセージ、リンク (URL)、コラボレーションツールによってもたらされる悪意のある脅威からorganizationを保護します。 Defender for Office 365 には次のものが含まれます。

脅威に対する保護ポリシー

脅威保護ポリシーを定義して、organizationの適切なレベルの保護を設定します。
レポート

リアルタイムレポートを表示して、organizationのDefender for Office 365パフォーマンスを監視します。
脅威の調査と対応の機能

最先端のツールを使用して、脅威の調査、理解、シミュレート、防止を行います。
自動調査と対応機能

脅威の調査と軽減に時間と労力を節約します。

Defender for Office 365アラートは、次のように分類できます。

確認された悪意のあるアクティビティに対する真陽性 (TP)。
確認された悪意のないアクティビティに対する偽陽性 (FP)。

注:

Microsoft Defender ポータルhttps://security.microsoft.comには、既存の Microsoft セキュリティポータルの機能が組み合わせられています。 Microsoft Defender ポータルでは、情報への迅速なアクセス、レイアウトの簡素化、関連情報のまとめが強調され、使いやすくなっています。

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Appsは、ログ収集、API コネクタ、リバースプロキシなど、さまざまなデプロイモードをサポートする Cloud Access Security Broker (CASB) です。 Microsoft およびサードパーティのすべてのクラウドサービスでサイバー攻撃の脅威を特定して対処するための、機能豊富な表示、データ移動の制御機能、洗練された分析機能を提供します。

Defender for Cloud Apps は、主要な Microsoft ソリューションとネイティブに統合され、セキュリティプロフェッショナルを念頭に置いて設計されています。これは、シンプルな配置、集中管理、革新的な自動化機能を提供します。

Defender for Cloud Apps フレームワークには、ネットワークをサイバー脅威や異常から保護し、クラウドアプリ間で異常な動作を検出してランサムウェア、侵害されたユーザー、または不正なアプリケーションを特定する機能が含まれています。これにより、リスクの高い使用状況の分析が可能になり、リスクをorganizationに制限するために自動的に修復できます。

Defender for Cloud Apps アラートは、次のように分類できます。

確認された悪意のあるアクティビティの TP。
侵入テストやその他の承認された疑わしいアクションなど、疑わしいが悪意のないアクティビティに対して無害な真陽性 (B-TP)。
確認された悪意のないアクティビティの FP。