自動攻撃中断アクションの詳細と結果

適用対象:

• Microsoft Defender XDR

Microsoft Defender XDRでは、自動攻撃中断がトリガーされると、侵害された資産のリスクと封じ込め状態に関する詳細は、プロセス中およびプロセス後に使用できます。 これらは、[インシデント] ページで確認できます。これにより、攻撃の詳細と、関連する資産の最新の状態が表示されます。

インシデント グラフを確認する

自動攻撃中断Microsoft Defender XDRインシデント ビューに組み込まれています。 インシデント グラフを確認すると、攻撃のストーリー全体を取得し、攻撃の中断の影響と状態を評価できます。

次のような例を示します。

• 中断されたインシデントには、"攻撃の中断" のタグと、特定された特定の脅威の種類 (ランサムウェア) が含まれます。 インシデントメール通知をサブスクライブすると、これらのタグもメールに表示されます。
• インシデントが中断されたことを示すインシデント タイトルの下の強調表示された通知。
• 中断されたユーザーと包含デバイスには、状態を示すラベルが表示されます。

ユーザー アカウントまたはデバイスを包含から解放するには、包含資産をクリックし、デバイスの 包含から解放 をクリックするか、ユーザー アカウントの ユーザーを有効にします 。

アクション センターでアクションを追跡する

アクション センター (https://security.microsoft.com/action-center) では、デバイス全体の 修復 アクションと応答アクション、電子メール & コラボレーション コンテンツ、ID がまとめられます。 一覧に表示されるアクションには、自動的または手動で実行された修復アクションが含まれます。 アクション センターでは、自動攻撃中断アクションを表示できます。

リスクを軽減し、インシデントの調査を完了したら、含まれている資産をアクションの詳細ウィンドウから解放できます (たとえば、無効なユーザー アカウントを有効にするか、包含からデバイスを解放します)。 アクション センターの詳細については、「 アクション センター」を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。

次の手順

• 応答アクションの電子メール通知を取得する