Microsoft Defender for Endpoint アラートを管理する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
Defender for Endpoint は、アラートを通じて、悪意のあるイベント、属性、コンテキスト情報の可能性を通知します。 新しいアラートの概要が表示され、 アラート キュー内のすべてのアラートにアクセスできます。
アラートを管理するには、 アラート キューでアラートを選択するか、個々のデバイスの [デバイス] ページの [ アラート ] タブを選択します。
これらの場所のいずれかでアラートを選択すると、[ アラート管理] ウィンドウが表示されます。
![[アラート管理] ウィンドウと [アラート キュー]](media/atp-alerts-selected.png?view=o365-worldwide#lightbox)
新しいMicrosoft Defender for Endpointアラート ページを使用する方法については、このビデオをご覧ください。
別のインシデントへのリンク
アラートから新しいインシデントを作成したり、既存のインシデントにリンクしたりできます。
アラートを割り当てる
アラートがまだ割り当てられていない場合は、[ 自分に割り当てる ] を選択してアラートを自分に割り当てることができます。
アラートを抑制する
アラートがMicrosoft Defender XDRに表示されないようにする必要がある場合があります。 Defender for Endpoint を使用すると、organizationの既知のツールやプロセスなど、無害であることが知られている特定のアラートの抑制ルールを作成できます。
抑制ルールは、既存のアラートから作成できます。 必要に応じて、無効にして再び有効にすることができます。
抑制ルールが作成されると、ルールが作成された時点から有効になります。 ルールは、ルールの作成前に、キューに既に存在するアラートには影響しません。 ルールは、ルールの作成後に設定された条件を満たすアラートにのみ適用されます。
抑制ルールには、次の 2 つのコンテキストから選択できます。
- このデバイスでアラートを抑制する
- organizationでのアラートの抑制
ルールのコンテキストを使用すると、ポータルに表示される内容を調整し、実際のセキュリティ アラートのみがポータルに表示されるようにすることができます。
次の表の例を使用すると、抑制ルールのコンテキストを選択するのに役立ちます。
| Context | 定義 | シナリオ例 |
|---|---|---|
| このデバイスでアラートを抑制する | 同じアラート タイトルを持ち、その特定のデバイス上のアラートのみが抑制されます。 そのデバイス上の他のすべてのアラートは抑制されません。 |
|
| organizationでのアラートの抑制 | どのデバイスでも同じアラート タイトルを持つアラートは抑制されます。 |
|
アラートを抑制し、新しい抑制ルールを作成する
アラートを抑制または解決するタイミングを制御するカスタム ルールを作成します。 アラートのタイトル、侵害のインジケーター、および条件を指定することで、アラートが抑制されたときのコンテキストを制御できます。 コンテキストを指定すると、アラートのアクションとスコープを構成できるようになります。
抑制するアラートを選択します。 これにより、[ アラート管理 ] ウィンドウが表示されます。
[ 抑制ルールの作成] を選択します。
これらの属性を使用して抑制条件を作成できます。 各条件の間に AND 演算子が適用されるため、抑制は、すべての条件が満たされた場合にのみ発生します。
- SHA1ファイル
- ファイル名 - ワイルドカードがサポートされています
- フォルダー パス - ワイルドカードがサポートされています
- IP アドレス
- URL - ワイルドカードがサポートされています
- コマンド ライン - ワイルドカードがサポートされています
[ トリガー IOC] を選択します。
アラートのアクションとスコープを指定します。
アラートを自動的に解決するか、ポータルで非表示にすることができます。 自動的に解決されるアラートは、アラート キュー、アラート ページ、デバイス タイムラインの解決済みセクションに表示され、Defender for Endpoint API 全体で解決済みとして表示されます。
非表示としてマークされたアラートは、デバイスに関連付けられたアラートとダッシュボードの両方でシステム全体から抑制され、Defender for Endpoint API 間でストリーミングされることはありません。
ルール名とコメントを入力します。
[保存] をクリックします。
抑制ルールの一覧を表示する
ナビゲーション ウィンドウで、[設定] [エンドポイントルール]> [アラート抑制]> の順に>選択します。
抑制ルールの一覧には、organizationのユーザーが作成したすべてのルールが表示されます。
抑制ルールの管理の詳細については、「抑制ルールの管理」を参照してください。
アラートの状態を変更する
調査の進行に合わせて状態を変更することで、アラートを ( 新規、 進行中、または 解決済み) として分類できます。 これにより、チームがアラートに応答する方法を整理および管理できます。
たとえば、チーム リーダーはすべての 新しい アラートを確認し、さらに分析するために 進行中キューに 割り当てることを決定できます。
また、チーム リーダーは、アラートが問題ないことがわかっている場合、(セキュリティ管理者に属するデバイスなど)、または以前のアラートを介して処理されているデバイスから発生した場合に、解決 済 みキューにアラートを割り当てることができます。
アラートの分類
分類を設定しないか、アラートが真のアラートか偽アラートかを指定できます。 真陽性/偽陽性の分類を提供することが重要です。 この分類は、アラートの品質を監視し、アラートをより正確にするために使用されます。 "判定" フィールドは、"真陽性" 分類の追加の忠実度を定義します。
アラートを分類する手順は、次のビデオに含まれています。
コメントを追加し、アラートの履歴を表示する
アラートに対する以前の変更を確認するには、コメントを追加したり、アラートに関する履歴イベントを表示したりできます。
アラートに変更またはコメントが加えられた場合は常に、[ コメントと履歴 ] セクションに記録されます。
追加されたコメントは直ちにウィンドウに表示されます。
関連記事
- Microsoft Defender for EndpointとMicrosoft Defenderウイルス対策の除外
- 抑制ルールの管理
- Microsoft Defender for Endpoint アラート キューを表示して整理する
- Microsoft Defender for Endpointアラートを調査する
- Microsoft Defender for Endpoint アラートに関連付けられているファイルを調査する
- [Microsoft Defender for Endpoint デバイス] の一覧でデバイスを調査する
- Microsoft Defender for Endpoint アラートに関連付けられている IP アドレスを調査する
- Microsoft Defender for Endpoint アラートに関連付けられているドメインを調査する
- Microsoft Defender for Endpointでユーザー アカウントを調査する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示