自動調査の詳細と結果
適用対象:
- Microsoft Defender XDR
Microsoft Defender XDRでは、自動調査が実行されると、その調査に関する詳細は、自動調査プロセスの実行中と後の両方で利用できます。 必要なアクセス許可がある場合は、最新の状態と保留中のアクションを承認する機能を提供する調査の詳細ビューでそれらの詳細を表示できます。
(NEW)統合調査ページ
調査ページが最近更新され、デバイス、電子メール、コラボレーション コンテンツ全体の情報が含まれています。 新しい統合された調査ページでは、共通言語を定義し、Microsoft Defender for EndpointとMicrosoft Defender for Office 365全体の自動調査に統合されたエクスペリエンスを提供します。 統合調査ページにアクセスするには、黄色のバナーに表示されるリンクを選択します。
- Microsoft Purview コンプライアンス ポータル内の任意の調査ページ
- Microsoft Defender ポータルの調査ページ (https://security.microsoft.com)
- Microsoft Defender ポータルでのインシデントまたはアクション センターのエクスペリエンス
調査の詳細ビューを開く
調査の詳細ビューを開くには、次のいずれかの方法を使用できます。
アクション センターでアイテムを選択する
改善された アクション センター (https://security.microsoft.com/action-center) により、デバイス全体の 修復アクション 、電子メール & コラボレーション コンテンツ、ID がまとめられます。 一覧表示されたアクションには、自動または手動で実行された修復アクションが含まれます。 アクション センターでは、承認待ちのアクションと、既に承認または完了したアクションを表示できます。 また、調査ページなどの詳細情報に移動することもできます。
ヒント
アクションを承認、拒否、または元に戻すには、 特定のアクセス許可 が必要です。
ポータルMicrosoft Defender移動し、サインインします。
ナビゲーション ウィンドウで、[アクション センター] を選択します。
[保留中] タブまたは [履歴] タブのいずれかでアイテムを選択します。 ポップアップ ウィンドウが開きます。
ポップアップ ウィンドウで情報を確認し、次のいずれかの手順を実行します。
- [調査ページを開く] を選択して、調査に関する詳細情報を表示します。
- [承認する] を選択して、保留中のアクションを開始します。
- [拒否する] を選択して、保留中のアクションが実行されないようにします。
- [追求する] を選択して [高度な追求] に移動します。
インシデントの詳細ページから調査を開く
インシデントの詳細ページを使用して、インシデントに関する詳細情報を表示します。これには、影響を受けたデバイス、ユーザー アカウント、またはメールボックスに関する情報がトリガーされた警告が含まれます。
ポータルMicrosoft Defender移動し、サインインします。
ナビゲーション ウィンドウで、[インシデント] & [アラート> インシデント] を選択します。
一覧で項目を選択し、[ インシデント ページを開く] を選択します。
[調査] タブを選択してから、一覧で調査を選択します。 ポップアップ ウィンドウが開きます。
[ 調査ページを開く] を選択します。
次に例を示します。
調査の詳細
調査の詳細ビューを使用して、調査に関連する過去、現在、保留中のアクティビティを表示します。 次に例を示します。
調査の詳細ビューでは、次の表で説明する [Investigation graph (調査のグラフ)]、[Alerts (警告)]、[Device (デバイス)]、[Identities (ID)]、[Key findings (主な検出事項)]、[Entities (エンティティ)]、[Log (ログ)]、[Pending actions (保留中のアクション)] の各タブに情報が表示されます。
注:
調査の詳細ページに表示される特定のタブは、サブスクリプションの内容によって異なります。 たとえば、サブスクリプションにプラン 2 Microsoft Defender for Office 365が含まれていない場合、[メールボックス] タブは表示されません。
| タブ | 説明 |
|---|---|
| Investigation graph (調査グラフ) | 調査を視覚的に表します。 エンティティと検出された脅威のほか、警告、承認を待っているアクションがあるかどうかが示されます。 グラフ上のアイテムを選択すると、詳細が表示されます。 たとえば、[ 証拠 ] アイコンを選択すると、[ 証拠 ] タブに移動し、検出されたエンティティとその判定を確認できます。 |
| アラート | 調査に関連する警告を一覧表示します。 アラートは、ユーザーのデバイス上の脅威保護機能、Office アプリ、Microsoft Defender for Cloud Apps、その他のMicrosoft Defender XDR機能から発生する可能性があります。 [ サポートされていないアラートの種類] と表示される場合は、自動調査機能がそのアラートを受け取って自動調査を実行できないことを意味します。 ただし、 これらのアラートは手動で調査できます。 |
| デバイス | Listsの修復レベルと共に、調査に含まれるデバイス。 (修復レベルは 、デバイス グループの自動化レベルに対応します)。 |
| メールボックス | 検出された脅威の影響を受けたメールボックスをListsします。 |
| Users | 検出された脅威の影響を受けたユーザー アカウントをListsします。 |
| 証拠 | Listsアラートまたは調査によって発生した証拠の一部。 判定 (悪意がある、疑わしい、不明、脅威なし) と修復状態が含まれます。 |
| Entities | それぞれのエンティティの種類に対する判定 (悪意がある、疑わしい、脅威なし) など、分析された各エンティティに関する詳細を提示します。 |
| Log | アラートがトリガーされた後に実行されたすべての調査のアクションを時系列で詳細に表示します。 |
| 保留中のアクションの履歴 | 続けるには承認を必要とするアイテムを一覧表示します。 アクション センター (https://security.microsoft.com/action-center) に移動して、保留中のアクションを承認します。 |
調査の状態
次の表に、調査の状態とそれらが示す内容を示します。
| 調査の状態 | 定義 |
|---|---|
| 良性 | アーティファクトが調査され、脅威が見つからなかったと判断されました。 |
| PendingResource | 修復アクションが承認待ちであるか、成果物が見つかったデバイスが一時的に使用できないため、自動調査が一時停止されます。 |
| UnsupportedAlertType | この種類のアラートでは、自動調査を使用できません。 詳細な調査は、高度なハンティングを使用して手動で行うことができます。 |
| 失敗 | 少なくとも 1 つの調査アナライザーで、調査を完了できない問題が発生しました。 修復アクションが承認された後に調査が失敗した場合、修復アクションは引き続き成功している可能性があります。 |
| 修復に成功しました | 自動調査が完了し、すべての修復アクションが完了または承認されました。 |
調査状態の表示方法に関する詳細なコンテキストを提供するために、次の表に、アラートとそれに対応する自動調査の状態を示します。 この表は、セキュリティ運用チームがMicrosoft Defender ポータルに表示する可能性がある内容の例として含まれています。
| アラート名 | 重要度 | 調査の状態 | 状態 | カテゴリ |
|---|---|---|---|---|
| Wim ディスク イメージ ファイルでマルウェアが検出されました | 情報 | 良性 | Resolved | マルウェア |
| マルウェアが rar アーカイブ ファイルで検出されました | 情報 | PendingResource | 新規 | マルウェア |
| マルウェアが rar アーカイブ ファイルで検出されました | 情報 | UnsupportedAlertType | 新規 | マルウェア |
| マルウェアが rar アーカイブ ファイルで検出されました | 情報 | UnsupportedAlertType | 新規 | マルウェア |
| マルウェアが rar アーカイブ ファイルで検出されました | 情報 | UnsupportedAlertType | 新規 | マルウェア |
| zip アーカイブ ファイルでマルウェアが検出されました | 情報 | PendingResource | 新規 | マルウェア |
| zip アーカイブ ファイルでマルウェアが検出されました | 情報 | PendingResource | 新規 | マルウェア |
| zip アーカイブ ファイルでマルウェアが検出されました | 情報 | PendingResource | 新規 | マルウェア |
| zip アーカイブ ファイルでマルウェアが検出されました | 情報 | PendingResource | 新規 | マルウェア |
| Wpakill hacktool が防止されました | 低 | 失敗 | 新規 | マルウェア |
| GendowsBatch hacktool が防止されました | 低 | 失敗 | 新規 | マルウェア |
| Keygen hacktool が防止されました | 低 | 失敗 | 新規 | マルウェア |
| zip アーカイブ ファイルでマルウェアが検出されました | 情報 | PendingResource | 新規 | マルウェア |
| マルウェアが rar アーカイブ ファイルで検出されました | 情報 | PendingResource | 新規 | マルウェア |
| マルウェアが rar アーカイブ ファイルで検出されました | 情報 | PendingResource | 新規 | マルウェア |
| zip アーカイブ ファイルでマルウェアが検出されました | 情報 | PendingResource | 新規 | マルウェア |
| マルウェアが rar アーカイブ ファイルで検出されました | 情報 | PendingResource | 新規 | マルウェア |
| マルウェアが rar アーカイブ ファイルで検出されました | 情報 | PendingResource | 新規 | マルウェア |
| iso ディスク イメージ ファイルでマルウェアが検出されました | 情報 | PendingResource | 新規 | マルウェア |
| iso ディスク イメージ ファイルでマルウェアが検出されました | 情報 | PendingResource | 新規 | マルウェア |
| pst outlook データ ファイルでマルウェアが検出されました | 情報 | UnsupportedAlertType | 新規 | マルウェア |
| pst outlook データ ファイルでマルウェアが検出されました | 情報 | UnsupportedAlertType | 新規 | マルウェア |
| MediaGet が検出されました | 中 | PartiallyInvestigated | 新規 | マルウェア |
| TrojanEmailFile | 中 | SuccessfullyRemediated | Resolved | マルウェア |
| CustomEnterpriseBlock マルウェアが防止されました | 情報 | SuccessfullyRemediated | Resolved | マルウェア |
| アクティブな CustomEnterpriseBlock マルウェアがブロックされました | 低 | SuccessfullyRemediated | Resolved | マルウェア |
| アクティブな CustomEnterpriseBlock マルウェアがブロックされました | 低 | SuccessfullyRemediated | Resolved | マルウェア |
| アクティブな CustomEnterpriseBlock マルウェアがブロックされました | 低 | SuccessfullyRemediated | Resolved | マルウェア |
| TrojanEmailFile | 中 | 良性 | Resolved | マルウェア |
| CustomEnterpriseBlock マルウェアが防止されました | 情報 | UnsupportedAlertType | 新規 | マルウェア |
| CustomEnterpriseBlock マルウェアが防止されました | 情報 | SuccessfullyRemediated | Resolved | マルウェア |
| TrojanEmailFile | 中 | SuccessfullyRemediated | Resolved | マルウェア |
| TrojanEmailFile | 中 | 良性 | Resolved | マルウェア |
| アクティブな CustomEnterpriseBlock マルウェアがブロックされました | 低 | PendingResource | 新規 | マルウェア |
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。