Microsoft Defender for Endpoint でアラートを調査する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ネットワークに影響を与えているアラートを調査し、その意味と解決方法を理解します。

アラート キューからアラートを選択して、アラート ページに移動します。 このビューには、アラート タイトル、影響を受けるアセット、詳細サイド ウィンドウ、アラート ストーリーが含まれます。

アラート ページで、アラート ストーリー ツリー ビューで影響を受ける資産またはエンティティのいずれかを選択して、調査を開始します。 詳細ウィンドウには、選択した内容に関する詳細情報が自動的に入力されます。 ここで表示できる情報の種類については、Microsoft Defender for Endpointのアラートの確認に関する記事を参照してください。

アラート ストーリーを使用して調査する

アラート ストーリーでは、アラートがトリガーされた理由、前後で発生した関連イベント、その他の関連エンティティが詳しく説明されています。

エンティティはクリック可能であり、アラートではないすべてのエンティティは、そのエンティティのカードの右側にある展開アイコンを使用して展開できます。 フォーカスのあるエンティティは、そのエンティティのカードの左側に青いストライプで示され、最初はタイトルのアラートがフォーカスされています。

エンティティを展開して、一目で詳細を表示します。 エンティティを選択すると、詳細ウィンドウのコンテキストがこのエンティティに切り替わります。さらに詳しい情報を確認したり、そのエンティティを管理したりできます。 エンティティ カードの右側にある ... を選択すると、そのエンティティで使用可能なすべてのアクションが表示されます。 これらの同じアクションは、そのエンティティがフォーカスされているときに、詳細ウィンドウに表示されます。

注意

アラート ストーリー セクションには複数のアラートが含まれている場合があり、選択したアラートの前後に同じ実行ツリーに関連する追加のアラートが表示されます。

アラートがフォーカスされ、一部の展開されたカードが含まれるアラート ストーリー

詳細ウィンドウからアクションを実行する

目的のエンティティを選択すると、詳細ウィンドウが変更され、選択したエンティティの種類に関する情報、使用可能な場合の履歴情報が表示され、アラート ページから直接このエンティティに 対してアクションを実行 するためのコントロールが提供されます。

調査が完了したら、開始したアラートに戻り、アラートの状態を 解決済み としてマークし、 False アラート または True アラート として分類します。 アラートを分類すると、この機能を調整して、より真のアラートを提供し、誤ったアラートを減らすのに役立ちます。

このアラートを真のアラートとして分類する場合は、下の図に示すように、決定を選択することもできます。

解決されたアラートと決定ドロップダウンが展開された詳細ウィンドウ

基幹業務アプリケーションで誤ったアラートが発生した場合は、今後この種類のアラートを回避する抑制ルールを作成します。

抑制ルールが強調表示された詳細ウィンドウのアクションと分類

ヒント

上記以外の問題が発生した場合は、ボタンを 🙂 使用してフィードバックを提供するか、サポート チケットを開きます。