この記事では、Microsoft Defender XDRの自動攻撃中断によって資産が自動的に含まれるのを除外する方法について説明します。
自動攻撃の中断により、自動包含アクションから特定のユーザー アカウント、デバイス、IP アドレスを除外できます。 除外されると、これらの資産は、攻撃の中断によってトリガーされる自動アクションの影響を受けることはありません。
注意
自動応答から資産を除外することはお勧めしません。 自動応答から資産を除外すると、高度で影響の大きい攻撃から環境を保護する場合の自動攻撃中断の有効性が低下する可能性があります。
前提条件
自動攻撃の中断で自動応答から資産を除外するには、Microsoft Entra ID (https://portal.azure.com) またはMicrosoft 365 管理センター (https://admin.microsoft.com) のいずれかで、次のいずれかのロールが割り当てられている必要があります。
- グローバル管理者
- セキュリティ管理者
資産の自動応答除外を確認または変更する
自動攻撃の中断で自動応答から資産を除外するには、次の手順に従います。
Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。
[設定>Microsoft Defender XDR] に移動します。
ユーザー アカウントを除外する
[ 自動応答] で、[ ID] を選択します。
ユーザー アカウントを除外するには、[ ユーザーの除外の追加] を選択します。 ポップアップ ウィンドウが表示されます。
![攻撃の中断に対する自動応答設定の [ID] ページ](/ja-jp/defender/media/automatic-attack-disruption/exclusions/attack-disrupt-exclude-identity-add-small.png)
ポップアップ ウィンドウで、[ ユーザーの選択 ] ボックスにユーザー アカウント名を入力し、除外するユーザー アカウントを選択します。
[ ユーザーの除外] を選択して除外を保存します。
![攻撃の中断に対する自動応答設定の [ID] ページ](/ja-jp/defender/media/automatic-attack-disruption/exclusions/attack-disrupt-exclude-identity-add.png#lightbox)
デバイス グループを除外する
注意
自動応答からデバイス グループを除外すると、 自動調査と応答 アクションにも影響します。
[ 自動応答] で、[デバイス] を選択 します。
[ デバイス グループ ] タブで、一覧からグループ名の横にあるチェック ボックスをオンにしてデバイス グループを選択し、攻撃中断の自動化設定を構成します。
![攻撃の中断に対する自動応答設定の [デバイス グループ] タブ](/ja-jp/defender/media/automatic-attack-disruption/exclusions/attack-disrupt-exclude-device-select-small.png)
ポップアップ ウィンドウで、デバイス グループに適したオートメーション レベルを選択します。 デバイス グループに適した次のいずれかの自動化レベルから選択できます。
- 完全 - 脅威を自動的に修復する: 脅威が検出されると、デバイスが自動的に含まれます。
- 半 - コア フォルダーの承認が必要: アラートが受信されたときにデバイスを自動的に調査し、コア システム フォルダー内の項目を除く修復アクションを適用します。 コア フォルダーの修復アクションには承認が必要です。
- 半 - 一時以外のフォルダーの承認が必要: アラートが受信されたときに、一時フォルダー内のアクションを自動的に調査し、修復を適用します。 その他のすべての修復アクションには、承認が必要です。
- Semi - すべてのフォルダーの承認が必要: アラートが受信されたときにデバイスを自動的に調査します。 すべての修復アクションには承認が必要です。
- 自動応答なし: このグループ内のデバイスに対する自動調査や応答は行われません。
[ 保存] を 選択して、デバイス グループのオートメーション レベルを保存します。
![攻撃の中断に対する自動応答設定の [デバイス グループ] タブ](/ja-jp/defender/media/automatic-attack-disruption/exclusions/attack-disrupt-exclude-device-select.png#lightbox)
重要
この記事の一部の情報は、リリース前の製品に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここで提供される情報に関して、明示または黙示を問わず一切保証しません。
IP を除外する
[ 自動応答] で、[デバイス] を選択 します。
[IP] タブ で 、[ IP の除外 ] を選択して IP アドレスを除外します。
![攻撃の中断に対する自動応答設定の [IP] タブ](/ja-jp/defender/media/automatic-attack-disruption/exclusions/attack-disrupt-exclude-ip-add-small.png)
ポップアップ ウィンドウで、除外する IP アドレス/IP 範囲/IP サブネットを入力します。 複数の IP アドレスと IP サブネットをコンマで区切って追加できます。
除外の名前とメモを追加します。 [ 作成] を 選択して除外を保存します。
![攻撃の中断に対する自動応答設定の [IP] タブ](/ja-jp/defender/media/automatic-attack-disruption/exclusions/attack-disrupt-exclude-ip-add.png#lightbox)
除外を削除する
除外を削除するには:
- [ID] ページに移動します。 一覧から削除するユーザー アカウントを選択し、[削除] を選択 します。
![攻撃中断の自動化設定の [ID] ページで除外されたユーザーを削除するときの削除オプションの強調表示](/ja-jp/defender/media/automatic-attack-disruption/exclusions/attack-disrupt-exclude-user-remove.png)
- [デバイス] ページに移動し、[IP] タブに移動します。一覧から削除する IP アドレスを選択し、[除外の削除] を選択します。
![攻撃中断の自動化設定の [IP] タブで除外された IP を削除するときの削除オプションの強調表示](/ja-jp/defender/media/automatic-attack-disruption/exclusions/attack-disrupt-exclude-ip-remove.png)
- デバイス グループの除外は、[ デバイス グループ ] タブで構成できます。一覧から構成するデバイス グループを選択し、ポップアップ ウィンドウから適切な除外を選択します。 [ 保存] を選択 して除外を保存します。
自動攻撃の中断のオプトアウト
攻撃の中断をオプトアウトすると、セキュリティ リスクが大幅に増加する可能性があります。 代わりに 、特定のエンティティを除外 することを検討してください。
攻撃の中断をオプトアウトする必要がある場合は、Microsoft Defender ポータルでサポート ケースを開き、攻撃の中断をオプトアウトします。要求に、攻撃の中断をオプトアウトすることを指定し、決定に関する簡単な説明を含めてください。 このフィードバックは、機能を改善し、顧客のニーズをよりよく理解するのに役立ちます。 オプトアウトすると、攻撃の中断に関連するアラートは引き続き受け取られますが、自動アクションは実行されません。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。