Microsoft Defender XDR で最初のインシデントを修復する

適用対象:

• Microsoft Defender XDR

Microsoft Defender XDR には、脅威の封じ込めと根絶を保証するための検出と分析機能が用意されています。 包含には、攻撃の影響を軽減する手順が含まれていますが、根絶により、攻撃者のアクティビティのすべてのトレースがネットワークから削除されます。

Microsoft Defender XDR での修復は、インシデント対応者が手動で実行するか、自動化できます。 修復アクションは、デバイス、ファイル、ID で実行できます。

自動修復

Microsoft Defender XDR は、脅威インテリジェンスとネットワーク内のシグナルを利用して、最も破壊的な攻撃に対処します。 ランサムウェア、ビジネス メール侵害 (BEC)、敵対者インザミドル (AiTM) フィッシングは、 自動攻撃中断 機能を通じてすぐに含めることができる最も複雑な攻撃の一部です。 攻撃が中断されると、インシデント対応者は攻撃を引き継ぎ、完全に調査し、必要な修復を適用できます。

自動攻撃の中断がインシデント対応にどのように役立つかについて説明します。

一方、Microsoft Defender XDR の 自動調査と対応 機能は、悪意のあるアイテムや不審なアイテムに対して修復アクションを自動的に調査して適用できます。 これらの機能は、脅威に対する調査と解決をスケーリングし、インシデント対応者が影響の大きい攻撃に集中できるようにします。

自動調査と対応の機能を 構成 および 管理 できます。 アクション センターを使用して、過去と保留中のすべてのアクションを表示することもできます。

注:

レビュー後に自動アクションを元に戻すことができます。

調査タスクの一部を高速化するには、 Power Automate を使用してアラートをトリアージできます。 さらに、自動化とプレイブックを使用して自動修復を作成することもできます。 Microsoft には、次 のシナリオ用のプレイブック テンプレートが GitHub に 用意されています。

• ユーザー検証を要求した後に機密性の高いファイル共有を削除する
• 自動トリアージ頻度の低い国のアラート
• アカウントを無効にする前にマネージャーアクションを要求する
• 悪意のある受信トレイ ルールを無効にする

プレイブックでは、Power Automate を使用して、特定の条件がトリガーされた後に特定のアクティビティを自動化するカスタム ロボット プロセス自動化フローを作成します。 組織は、既存のテンプレートまたはゼロからプレイブックを作成できます。 プレイブックは、インシデント後のレビュー中に作成して、解決されたインシデントから修復アクションを作成することもできます。

Power Automate を使用して、このビデオを通じてインシデント対応を自動化する方法について説明します。

手動修復

攻撃に対応しながら、セキュリティ チームはポータルの手動修復アクションを利用して、攻撃による損害がさらに発生するのを防ぐことができます。 一部のアクションは脅威を直ちに停止し、他のアクションはフォレンジック分析を支援します。 組織内にデプロイされた Defender ワークロードに応じて、これらのアクションを任意のエンティティに適用できます。

デバイスでのアクション

• デバイスを分離する - デバイスをネットワークから切断することで、影響を受けるデバイスを分離します。 デバイスは、継続的な監視のために Defender for Endpoint サービスに接続されたままです。

• アプリの実行を制限 する - Microsoft が発行した証明書によって署名されている場合にのみファイルの実行を許可するコード整合性ポリシーを適用して、アプリケーションを制限します。

• ウイルス対策スキャンの実行 - デバイスの Defender ウイルス対策スキャンをリモートで開始します。 スキャンは、Defender ウイルス対策がアクティブなウイルス対策ソリューションであるかどうかに関係なく、他のウイルス対策ソリューションと共に実行できます。

• 調査パッケージの収集 - 調査または対応プロセスの一環として、デバイスから調査パッケージを収集できます。 調査パッケージを収集することで、デバイスの現在の状態を特定し、攻撃者が使用するツールと手法をさらに理解できます。

• 自動調査を開始する - デバイスで新しい汎用自動調査を開始します。 調査の実行中、その調査が完了するまで、デバイスから生成されたその他のアラートは、進行中の自動調査に追加されます。 さらに、他のデバイスで同じ脅威が見られる場合は、それらのデバイスが調査に追加されます。

• ライブ応答を開始 する - リモート シェル接続を使用してデバイスに瞬時にアクセスできるため、詳細な調査作業を行い、すぐに応答アクションを実行して、特定された脅威をリアルタイムで迅速に含めることができます。 ライブ応答は、フォレンジック データの収集、スクリプトの実行、分析のための不審なエンティティの送信、脅威の修復、および新たな脅威の事前検出を可能にすることで、調査を強化するように設計されています。

• Defender エキスパートに問い合 わせ - 侵害された可能性のあるデバイスや既に侵害されているデバイスに関する詳細な分析情報については、Microsoft Defender の専門家に問い合わせることができます。 Microsoft Defender の専門家は、ポータル内から直接関与して、タイムリーかつ正確な対応を行うことができます。 このアクションは、デバイスとファイルの両方で使用できます。

デバイス上のその他のアクションは、次のチュートリアルを通じて利用できます。

• Defender for Endpoint を使用して有効になっているデバイスの応答アクション

注:

攻撃ストーリー内のグラフからデバイスに対して直接アクションを実行できます。

ファイルへのアクション

• [ファイルの停止と検疫 ] - 実行中のプロセスの停止、ファイルの検疫、レジストリ キーなどの永続的なデータの削除が含まれます。
• ファイルをブロックまたは許可するインジケーターを追加 する - 悪意のある可能性のあるファイルやマルウェアの疑いを禁止することで、攻撃がさらに広がらないようにします。 この操作により、ファイルが組織内のデバイスで読み取り、書き込み、または実行されるのを防ぐことができます。
• ファイルのダウンロードまたは収集 - アナリストは、組織によるさらなる分析のために、パスワードで保護された .zip アーカイブ ファイルにファイルをダウンロードできます。
• 詳細な分析 – 安全で完全にインストルメント化されたクラウド環境でファイルを実行します。 詳細な分析結果は、ファイルのアクティビティ、観察された動作、および関連する成果物 (ドロップされたファイル、レジストリの変更、IP アドレスとの通信など) を示します。

他の攻撃の修復

注:

これらのチュートリアルは、環境内で他の Defender ワークロードが有効になっている場合に適用されます。

次のチュートリアルでは、エンティティを調査するとき、または特定の脅威に対応するときに適用できる手順とアクションを列挙します。

• Defender for Office 365 を介して侵害されたメール アカウントに応答する
• Defender for Vulnerability Management を使用した脆弱性の修復
• Defender for Identity を使用したユーザー アカウントの修復アクション
• Defender for Cloud Apps を使用してアプリを制御するためのポリシーの適用

次の手順

• 攻撃シミュレーショントレーニングを通じて攻撃をシミュレートする
• Virtual Ninja トレーニングを通じて Microsoft Defender XDR を探索する

関連項目

• インシデントの調査
• Microsoft Defender XDR Ninja トレーニングを通じてポータルの機能について説明します

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。