次の方法で共有

Microsoft Defenderで予測シールドを管理する (プレビュー)

  • 適用対象: Microsoft Defender XDR, Microsoft Defender for Endpoint

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

Microsoft Defenderは、脅威が具体化される前に予測と軽減を行うように設計されたプロアクティブな防御戦略として、予測シールド (プレビュー) を使用します。 予測シールドのしくみを説明して、リスクを動的に推論し、攻撃者の進行を予測し、環境を強化します。

この記事では、予測データを強化し、予測シールド アクションが環境内でどのように適用されるかを理解できるように、予測シールドを管理する方法について説明します。

予測シールドの詳細と結果を確認する

Microsoft Defenderのインシデント ビューには、組み込みの予測シールドの詳細が含まれています。 インシデント グラフとアクティビティ情報を使用して、予測シールドの影響と状態を評価します。

ヒント

予測シールド データを強化するには、Microsoft Defender for Identity センサーを使用してセキュリティ分析情報を向上させ、カバレッジを拡大することをお勧めします。 詳細については、「 予測シールド データのエンリッチ」を参照してください。

インシデント情報を確認する

[ インシデント ] ページで、 予測シールド タグでフィルター処理して、予測シールドが適用されているインシデントを見つけます。

予測シールド タグでフィルター処理されたインシデント リストのスクリーンショット。

注:

インシデントとアラートの詳細にはインシデントの開始からの履歴データが表示されますが、[アクティビティ] タブには現在の状態のスナップショットが表示されます。 詳細については、「 アクティビティ情報を確認する」を参照してください。

その後、関連するインシデントを選択し、インシデント グラフを確認して 攻撃ストーリー 全体を取得し、予測シールドの影響と状態を評価できます。

インシデント グラフ、攻撃ストーリー、中断の概要カードに示されている予測シールド データのスクリーンショット。

アラートと中断情報を確認して、予測シールドの詳細と結果を確認することもできます。

  • アラートの詳細で、[ 予測シールド ] ラベルと、特定された特定の脅威の種類 (ランサムウェアなど) を表示します。 インシデントメール通知をサブスクライブすると、これらのタグもメールに表示されます。

    予測シールド ラベルを含むアラートの詳細のスクリーンショット。

  • 中断の概要で、このインシデントの一部として呼び出される予測シールド ポリシーの数と、すべてのポリシーにわたる強化されたデバイスの数を表示します。

    予測シールドの詳細を示す中断の概要カードのスクリーンショット。

アクティビティ情報を確認する

インシデントの [アクティビティ] タブを選択し、[応答] カテゴリでフィルター処理して、予測シールド アクションが適用されているアクティビティのライブ スナップショットを取得します。

  • [種類] 列を確認して、予測シールドによってトリガーされるアクションを確認します。

    この例では、予測シールドの一部として、[ ユーザーの含める]、[ GPO のセキュリティ強化]、および [SafeBoot のセキュリティ強化 ] アクションが適用されます。 予測シールド アクションの詳細については、こちらをご覧ください。

    予測シールド アクションを示す [応答] カテゴリでフィルター処理された [アクティビティ] タブのスクリーンショット。

  • [ トリガー アラート ] 列を選択してアラートの詳細ウィンドウを開き、予測シールド アクションの原因となったアラートを確認します。 詳細については、「 トリガーされるアラート情報を確認する」を参照してください。

  • [ポリシーの状態] 列を確認して、現在適用されているセキュリティ強化ポリシーを確認します。

注:

[ 実行対象 ] 列は、 攻撃の中断 と予測シールド アクションの両方に対する攻撃の中断を示します。 予測シールドに適用される特定のアクションについては、「 予測シールド アクション」を参照してください。

  • 特定のアクションを選択してアクティビティの詳細ウィンドウを開きます。このウィンドウではアクティビティが説明され、関連するポリシーが現在適用されているデバイスの数が表示されます。

    予測シールド アクションによって強化されたデバイスの数を示すアクティビティの詳細ウィンドウのスクリーンショット。

ヒント

[ アクティビティ ] タブには現在のインシデントに固有のアクションが表示されますが、アクション センターにはすべてのアクティビティが表示されます。 アクション センターで予測シールド アクションを追跡するには、「 アクション センターを使用する」を参照してください。

トリガーされるアラート情報を確認する

予測シールド アクションの原因となったアラートを調査するには、インシデントの詳細ウィンドウまたはアクティビティ ページからトリガーするアラートを選択します。

関連するアラート データを示すアラートの詳細ウィンドウのスクリーンショット。

アラートでは、次の内容を確認できます。

  • どの資産が危険にさらされているか。
  • アラート チェーンからトリガーされる悪意のあるアクティビティ。
  • このリスクの計算に使用される露出データ。

予測シールド データをエンリッチする

Microsoft Defender for Identity センサーを使用して、セキュリティの分析情報を向上させ、カバレッジを拡大することをお勧めします。 この方法では、ユーザー名、Active Directory の詳細、グループ メンバーシップなどのメタデータがアラートに追加され、より実用的になります。

Defender for Identity センサーを追加するには、「Microsoft Defender for Identityのデプロイ」を参照してください。

エンリッチされたデータの例

この例のシナリオでは、次の操作を行います。

  • 環境では、Microsoft Defender for EndpointとMicrosoft Defender for Identityの両方が有効になります。
  • 攻撃者はジャンプ ボックスの足掛かりを得て、悪意のあるアクティビティを行い、ワークステーション (WSA) を侵害しました。
  • エンリッチされたデータは、WSA での疑わしい PowerShell アクティビティ を明らかにし、WSB でリモート資格情報の収集を実行する攻撃者の意図を示します。
  • このエンリッチメントにより、インシデントに関する予測データが追加され、さらなる侵害の意図が示されます。

ユーザーと Active Directory の詳細を示す、インシデント内のエンリッチされた予測シールド データのスクリーンショット。

高度なハンティングでポリシーの変更を追跡する

高度なハンティングで特定のクエリを使用して、環境内のポリシーの変更を追跡できます。

有効な予測シールド強化ポリシーを追跡する

このサンプル クエリでは、予測シールド強化ポリシーの変更に関連するイベントを取得し、特定のドメインに対してポリシーが有効または無効になっているタイミングを監視できます。 クエリでは、 DisruptionAndResponseEvents テーブルを使用します

  DisruptionAndResponseEvents
let hardeningPolicyType = 
let lookBackTime = 
DisruptionAndResponseEvents
| where Timestamp > lookBackTime
| where PolicyName == hardeningPolicyType
| where DomainName == domainName
| summarize arg_max(Timestamp, IsPolicyOn) by DeviceId
| where IsPolicyOn

環境内のポリシー変更イベントを追跡する

このサンプル クエリでは、Defender for Endpoint にオンボードされているデバイスからのセキュリティ強化ポリシーのアプリケーションと削除など、環境内のポリシー変更イベントを取得します。 クエリでは、 DisruptionAndResponseEvents テーブルを使用します

  DisruptionAndResponseEvents
let hardeningPolicyType = dynamic(["GpoPrevention", "SafebootPrevention"]);
let lookBackTime = datetime("");
DisruptionAndResponseEvents
| where PolicyName in (hardeningPolicyType)
| where Timestamp > lookBackTime
| where ReportType == 'PolicyUpdated' and IsPolicyOn == '1'
| summarize arg_max(Timestamp, DeviceName) , PoliciesApplied = make_set(PolicyName)  by DeviceId

このサンプル クエリでは、予測シールド強化ポリシーに関連するブロックされたイベントを取得し、デバイスで特定のアクションがブロックされたタイミングを監視できます。 クエリでは、 DisruptionAndResponseEvents テーブルを使用します

  DisruptionAndResponseEvents
let hardeningPolicyType = dynamic(["GpoPrevention", "SafebootPrevention"]);
DisruptionAndResponseEvents
| where PolicyName in (hardeningPolicyType)
| where ReportType == 'Prevented'

予測シールドによってトリガーされる操作を元に戻す

予測シールドの一部として適用されたアクションを元に戻すことができます。

操作を元に戻すには、次のいずれかの操作を行います。

  • Last updated on