管理対象検出と管理対象応答
適用対象:
マネージド検出と応答の手順については、この短いビデオを参照してください。
自動化と人間の専門知識を組み合わせることで、Microsoft Defender Experts for XDR は Microsoft Defender XDR インシデントをトリアージし、ユーザーに代わって優先順位を付け、ノイズを除外し、詳細な調査を行い、セキュリティ オペレーション センター (SOC) チームに実用的なマネージド対応を提供します。
インシデントの更新
エキスパートがインシデントの調査を開始すると、インシデントの [割り当て先 ] フィールドと [状態] フィールドがそれぞれ Defender Experts と [進行中] に更新されます。
エキスパートがインシデントに関する調査を終了すると、専門家の調査結果に応じて、インシデントの 分類 フィールドが次のいずれかに更新されます。
- 真陽性
- 誤検知
- 情報、予想されるアクティビティ
各分類に対応する [決定 ] フィールドも更新され、エキスパートが上記の分類を決定するきっかけとなった結果に関するより多くの分析情報が提供されます。
![[タグ]、[状態]、[割り当て先]、[分類]、[決定] の各フィールドを示す [インシデント] ページのスクリーンショット。](/ja-jp/defender/media/xdr/incidents-xdr-1.png#lightbox)
インシデントが False Positive または Informational、 Expected Activity として分類されている場合、インシデントの [状態] フィールドが [解決済み] に更新されます。 その後、エキスパートはこのインシデントに関する作業を終了し、[ 割り当て先 ] フィールドが [未割り当て] に更新されます。 当社の専門家は、インシデントを解決するときに、調査の最新情報と結論を共有する場合があります。 これらの更新は、インシデントの [コメントと履歴 ] ポップアップ パネルに投稿されます。
注:
インシデントコメントは一方向の投稿です。 Defender エキスパートは、[ コメントと履歴 ] パネルに追加したコメントや質問に応答できません。 エキスパートと対応する方法の詳細については、「 Microsoft Defender Experts for XDR サービスのエキスパートとの通信」を参照してください。
それ以外の場合、インシデントが True Positive として分類された場合、エキスパートは、実行する必要がある必要がある対応アクションを特定します。 アクションを実行する方法は、Defender Experts for XDR サービスに付与したアクセス許可とアクセス レベルによって異なります。 エキスパートにアクセス許可を付与する方法について詳しくは、こちらをご覧ください。
XDR の Defender Experts に推奨されるセキュリティ オペレーターアクセス許可を付与している場合、エキスパートはインシデントに対して必要な応答アクションをユーザーに代わって実行できます。 これらのアクションは、 調査の概要と共に、Microsoft Defender ポータルのインシデントの [マネージド応答 ] ポップアップ パネルに表示され、ユーザーまたは SOC チームが確認できます。 Defender Experts for XDR によって完了したすべてのアクションは、[ 完了したアクション ] セクションに表示されます。 自分または SOC チームが完了する必要がある保留中のアクションは、[ 保留中のアクション ] セクションの下に一覧表示されます。 詳細については、「 アクション」 セクションを参照してください。 エキスパートがインシデントに対して必要なすべてのアクションを実行すると、[ 状態] フィールドが [解決済 み] に更新され、[ 割り当て先 ] フィールドが [未割り当て] に更新されます。
XDR の Defender Experts に既定のセキュリティ 閲覧者アクセス権を付与した場合は、必要な応答アクションと調査の概要が、Microsoft Defender ポータルの [保留中のアクション] セクションの下にあるインシデントの [マネージド応答] ポップアップ パネルに表示され、ユーザーまたは SOC チームが実行できます。 詳細については、「 アクション」 セクションを参照してください。 この引き渡しを識別するために、インシデントの [状態] フィールドが [顧客アクションの待機 中] に更新 され、[割り当て先 ] フィールドが [顧客] に更新されます。
操作が必要なインシデントの数は、Microsoft Defender ホームページの上部にある Defender エキスパート バナーで確認できます。
エキスパートが調査または現在調査しているインシデントを表示するには、Defender Experts タグを使用して Microsoft Defender ポータルのインシデント キューをフィルター処理します。
Microsoft Defender XDR でマネージド応答を使用する方法
Microsoft Defender ポータルで、マネージド応答を使用して注意を払う必要があるインシデントには、[ 状態] フィールドが [ 顧客アクションの待機中] に設定 され、[割り当て先 ] フィールドが [顧客 ] に設定され、[ インシデント ] ウィンドウの上部にタスク カードが設定されています。 指定されたインシデント連絡先には、対応する電子メール通知も受信され、Defender ポータルへのリンクが表示され、インシデントが表示されます。 通知連絡先の詳細については、こちらをご覧ください。 また、更新プログラムについて通知する Teams 通知も届きます。 Teams の設定の詳細
タスク カードまたはポータル ページの上部 ([マネージド応答] タブ) の [管理された応答の表示] を選択して、専門家の調査の概要を読み取ったり、エキスパートによって特定された保留中のアクションを完了したり、チャットを通じて操作したりできるポップアップ パネルを開きます。
調査の概要
[ 調査の概要 ] セクションでは、エキスパートによって分析されたインシデントに関するより多くのコンテキストが提供され、直ちに対処されていない場合に、その重大度と潜在的な影響についての可視性が提供されます。 これには、デバイスのタイムライン、攻撃のインジケーター、観察された侵害 (IOC) のインジケーター、その他の詳細が含まれる場合があります。
アクション
[ アクション] タブには、エキスパートが推奨する応答アクションを含むタスク カードが表示されます。
現在、Defender Experts for XDR では、次のワンクリックマネージド応答アクションがサポートされています。
| 操作 | 説明 |
|---|---|
| デバイスの分離 | デバイスを分離します。これは、攻撃者がデバイスを制御し、データ流出や横移動などの追加のアクティビティを実行するのを防ぐのに役立ちます。 分離されたデバイスは引き続き Microsoft Defender for Endpoint に接続されます。 |
| ファイルの検疫 | プロセスの実行を停止し、ファイルを検疫し、レジストリ キーなどの永続的なデータを削除します。 |
| アプリの実行を制限する | 悪意のある可能性のあるプログラムの実行を制限し、デバイスをロックして、それ以上の試行を防ぎます。 |
| 分離からの解放 | デバイスの分離を元に戻します。 |
| アプリの制限を削除する | 分離からの解放を元に戻します。 |
これらのワンクリック アクションとは別に、手動で実行する必要がある専門家からマネージド応答を受け取ることもできます。
注:
推奨されるマネージド応答アクションを実行する前に、自動調査と応答の構成によってまだ対処されていないことを確認してください。 Microsoft Defender XDR の自動調査と対応機能の詳細について説明します。
マネージド応答アクションを表示して実行するには、次の手順を実行します。
- アクション カードの矢印ボタンを選択して展開し、必要なアクションの詳細を確認します。
- ワンクリック応答アクションを含むカードの場合は、必要なアクションを選択します。 カードの [アクションの状態 ] は、アクションの結果に応じて [進行中] に変わり、[ 失敗] または [完了] に変わります。
ヒント
また、 アクション センターでポータル内の応答アクションの状態を監視することもできます。 応答アクションが失敗した場合は、[ デバイスの詳細の表示 ] ページからやり直すか、Defender Experts との チャットを開始 します。
- 手動で実行する必要がある必要があるアクションを含むカードの場合 は、[この操作を実行したら完了 しました] を選択し、表示される確認ダイアログ ボックスで [ はい、完了 しました] を選択します。
- 必要なアクションをすぐに完了しない場合は、[ スキップ] を選択し、表示される確認ダイアログ ボックスで [ はい、このアクションをスキップ する] を選択します。
重要
アクション カードのボタンのいずれかが淡色表示されている場合は、アクションを実行するために必要なアクセス許可がないことを示している可能性があります。 適切なアクセス許可を持つ Microsoft Defender XDR ポータルにサインインしていることを確認します。 ほとんどのマネージド応答アクションでは、少なくとも Security Operator アクセス権が必要です。 適切なアクセス許可でもこの問題が引き続き発生する場合は、[ デバイスの詳細の表示] に移動し、そこから手順を完了します。
SIEM または ITSM アプリケーションで Defender Experts の調査を可視化する
XDR の Defender Experts がインシデントを調査し、修復アクションを考え出すにつれて、セキュリティ情報とイベント管理 (SIEM) アプリケーションと IT サービス管理 (ITSM) アプリケーション (すぐに利用できるアプリケーションなど) のインシデントに対する作業を可視化できます。
Microsoft Sentinel
Microsoft Sentinel でインシデントの可視性を得るには、すぐに使用できる Microsoft Defender XDR データ コネクタをオンにします。 詳細情報 を参照してください。
コネクタをオンにすると、Microsoft Defender XDR の [状態]、[ 割り当て先]、[ 分類]、[ 決定 ] フィールドに対する Defender エキスパートによる更新が、Sentinel の対応する [状態]、[ 所有者]、および [理由 ] フィールドに表示されます。
注:
Microsoft Defender XDR で Defender Experts によって調査されたインシデントの状態は、通常、アクティブから進行中に移行し、Sentinel では [新規] から [アクティブ] から [解決済み] のパスに従います。 Microsoft Defender XDR Status Awaiting Customer Action には、Sentinel に同等のフィールドがありません。代わりに、Sentinel のインシデントでタグとして表示されます。
次のセクションでは、調査の過程を進めるにつれて、Sentinel でエキスパートによって処理されたインシデントがどのように更新されるかについて説明します。
- エキスパートによって調査されているインシデントには 、[状態] が [アクティブ] と表示され、[ 所有者 ] が Defender Experts として表示されます。
- エキスパートが True Positive として確認したインシデントには、Microsoft Defender XDR にマネージド応答が投稿され、 顧客アクションを待機している タグと 所有者 が 顧客として表示されます。 提供されたマネージド応答の使用に基づいてインシデントに対処する必要があります。
- エキスパートが調査を終了し、インシデントを False Positive または Informational、 Expected Activity として閉じた後、インシデントの 状態 が 解決済みに更新され、 所有者 は 未割り当てに更新され、 終了の理由 が提供されます。
その他のアプリケーション
Sentinel の Microsoft Defender XDR API またはコネクタを使用して、SIEM または ITSM アプリケーション のインシデントを可視化できます。
コネクタを構成すると、フィールド マッピングの実装方法に応じて、Defender エキスパートによるインシデントの 状態、 割り当て先、 分類、 および決定 フィールドに対する更新を、サード パーティの SIEM または ITSM アプリケーションと同期できます。 説明するために、 Sentinel から ServiceNow へのコネクタを確認できます。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示