次の方法で共有

Microsoft Defender XDRでの修復アクション

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

Microsoft Defender XDRの自動調査中および自動調査後に、悪意のあるアイテムまたは不審なアイテムに対する修復アクションが識別されます。 一部の種類の修復アクションは、エンドポイントとも呼ばれるデバイスで実行されます。 その他の修復アクションは、ID、アカウント、電子メール コンテンツに対して実行されます。 自動調査は、修復アクションが実行、承認、または拒否された後に完了します。

重要

修復アクションが自動的に実行されるか、承認にのみ実行されるかは、自動化レベルなどの特定の設定によって異なります。 詳細については、次の記事を参照してください。

次の表は、Microsoft Defender XDRで現在サポートされている修復アクションをまとめたものです。

デバイス (エンドポイント) 修復アクション メールの修復アクション ユーザー (アカウント)
- 調査パッケージを収集する
- デバイスを分離する (この操作は元に戻すことができます)
- オフボード マシン
- コードの実行を解放する
- 検疫からの解放
- 要求サンプル
- コードの実行を制限する (このアクションは元に戻すことができます)
- ウイルス対策スキャンの実行
- 停止と検疫
- ネットワークからのデバイスを含む		 - ブロック URL (クリック時間)
- 電子メール メッセージまたはクラスターを論理的に削除する
- 検疫メール
- メールの添付ファイルを検疫する
- 外部メール転送をオフにする		 - ユーザーを無効にする
- ユーザー パスワードをリセットする
- ユーザーが侵害されたことを確認する

修復アクションは、保留中の承認または既に完了しているかどうかに関係なく、 アクション センターで表示できます。

自動調査に従う修復アクション

自動調査が完了すると、関係するすべての証拠に対して評決が下されます。 判定に応じて、修復アクションが特定されます。 修復アクションが自動的に実行される場合もあれば、修復アクションが承認を待機する場合もあります。 すべて 、自動調査と応答の構成方法によって異なります。

考えられる判定と結果を次の表に示します。

判定 影響を受けるエンティティ 結果
Malicious (悪意のある) デバイス (エンドポイント) 修復アクションは自動的に実行されます (organizationのデバイス グループが [完全] に設定されていると仮定して、脅威を自動的に修復します)
セキュリティ侵害 ユーザー 修復アクションが自動的に実行されます
Malicious (悪意のある) メールのコンテンツ (URL または添付ファイル) 推奨される修復アクションが承認待ちになります
Suspicious (不審) デバイスまたはメールのコンテンツ 推奨される修復アクションが承認待ちになります
脅威なし デバイスまたはメールのコンテンツ 必要な修復アクションはありません

手動で実行される修復アクション

自動調査に従う修復アクションに加えて、セキュリティ運用チームは特定の修復アクションを手動で実行できます。 これらには次のコマンドレットがあります。

  • デバイスの分離やファイル検疫などの手動デバイス アクション
  • 電子メール メッセージの論理的な削除などの手動の電子メール アクション
  • ユーザーパスワードの無効化やリセットなど、ユーザーの手動操作
  • デバイス、ユーザー、またはメールに対する高度なハンティング アクション
  • メールコンテンツに対するエクスプローラーアクション (メールを迷惑メールに移動する、電子メールを論理的に削除する、メールをハード削除するなど)
  • ファイルの削除、プロセスの停止、スケジュールされたタスクの削除など、手動 のライブ応答 アクション
  • デバイスの分離、ウイルス対策スキャンの実行、ファイルに関する情報の取得など、Microsoft Defender for Endpoint API を使用したライブ応答アクション

次の手順

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします