Share via


Microsoft Defender XDRのDefender エキスパートによる追求 レポートについて

適用対象:

Microsoft Defender エキスパートによる追求は、ユーザーが直面する重大な脅威をMicrosoft Defender XDR理解するのに役立つ、人間のインテリジェンスと専門的なトレーニングを受けたテクノロジを階層化します。 Defender Expert の脅威ハンティング スキル、脅威の状況の完全な理解、および新たな脅威に関する知識が、環境内の脅威の特定、優先順位付け、対処にどのように役立つかについて説明します。

Defender エキスパートによる追求 サービスは、ハンティング サービスが環境内で発生したすべての脅威と、Microsoft Defender XDR製品によって生成されたアラートを把握するのに役立つレポートを生成します。 レポートは、現在の (実行中の) 月または 1 か月、3 か月、または 6 か月の期間で表示できます。

Microsoft Defender ポータルでレポートを表示するには、[レポート] に移動し、[Defender Experts>Defender エキスパートによる追求 レポート] を選択します。 レポートの各セクションは、お客様の環境で検出された Defender Experts の脅威と疑わしいアクティビティに関するより多くの分析情報を提供するように設計されています。

サンプル レポートの次のスクリーンショットを参照してください。

Defender エキスパートによる追求 レポートのスクリーンショット。

一般的な脅威とその他の潜在的な攻撃エントリ ポイントを特定する

Defender エキスパートによる追求によるMicrosoft Defender XDRと調査からのシグナルは、環境内の疑わしいアクティビティを特定するのに役立ちます。 重要な脅威アクティビティには、対応する Defender Experts 通知が含まれます。これにより、organizationの修復と防御に関する推奨事項も提供されます。

レポートには、選択した期間にエキスパートから送信された Defender エキスパート通知の合計数が表示されます。

特定された脅威の数を示すレポートの上部セクションのスクリーンショット

これらの通知を表示するには、[ Defender エキスパート通知の表示] を選択します。 このボタンをクリックすると、[インシデントのMicrosoft Defender XDR] ページにリダイレクトされます。 Defender Expert for Hunting アラートまたは Defender Experts 通知には 、Defender Experts というラベルが付いています。

注:

[ Defender エキスパート通知の表示 ] ボタンは、特定された脅威の数が少なくとも 1 の場合にのみ表示されます。

他のすべての特定されたアクティビティは、レポートの [脅威カテゴリ ] セクションの表にまとめられています。 列は、対応する封じ込めアクションと修復アクションを計画できるように、各攻撃フェーズでアクティビティが達成しようとしているものを視覚化するのに役立つさまざまな脅威攻撃の戦術とカテゴリを表します。

テーブルに表示されるアクティビティをフィルター処理するには、ドロップダウン メニューで次のいずれかのオプションを選択します。

  • 不審なアクティビティ (既定値) – 環境内の真陽性と無害な真陽性のアクティビティが表示されます。 すべての不審なアクティビティに対応する Defender Expert 通知が含まれるわけではないことに注意してください。
  • DEX 通知 – 対応する Defender Expert 通知のみを含むアクティビティを表示します。
  • すべてのアクティビティ – すべての真陽性、良性の真陽性、偽陽性のアクティビティが表示されます。

ドロップダウン メニューを示す [脅威カテゴリ] セクションの上部セクションのスクリーンショット。

アクティビティに関連する Defender Expert 通知がある場合は、対応するアイコンもアクティビティ名の下に表示されます。 特定された疑わしいアクティビティを選択すると、影響を受けるデバイスとユーザーの詳細を示すポップアップ パネルが開きます。

検出された疑わしいアクティビティの影響を受けるデバイスの一覧を表示するポップアップ パネルのスクリーンショット。

該当する場合は、関連する Defender エキスパート通知を表示するためのリンクもページに表示されます。

環境内のセキュリティの弱点を把握して理解する

レポートの [上位の傾向のある不審なアクティビティ ] セクションでは、過去 3 か月間に環境内で一貫して観察された最大 20 個の疑わしいアクティビティが、重大度の評価と発生頻度に基づいて並べ替えられます。

レポートの [トップ トレンドの疑わしいアクティビティ] セクションのスクリーンショット。

最も重要で頻繁に観察されるアクティビティを表示することで、その影響を評価および評価し、環境に対する潜在的な脅威を防止または軽減するための戦略を策定できます。

[各カードの詳細を表示] を選択して、影響を受けるデバイスとユーザーを詳細に示すポップアップ パネルを開きます。 該当する場合は、関連する Defender エキスパート通知を表示するためのリンクもページに表示されます。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします