Microsoft Defender Experts for XDR の概要

  • [アーティクル]

適用対象:

Defender Experts for XDR チームがorganizationをオンボードする準備ができたら、セットアップを続行して開始するためのウェルカム メールが届きます。

ウェルカム メールのリンクを選択して、Microsoft Defender ポータルで Defender Experts 設定の設定を直接起動します。 このセットアップを開くには、[設定][Defender Experts]>\(Defender エキスパート\) に移動し、[はじめに] を選択します。

Defender for Experts XDR 設定の [作業の開始] ページのスクリーンショット。

エキスパートにアクセス許可を付与する

既定では、Defender Experts for XDR には、エキスパートがテナントにサインインし、割り当てられたセキュリティ ロールに基づいてサービスを提供できるようにする サービス プロバイダー アクセス が必要です。 テナント間アクセスの詳細

また、エキスパートに次のアクセス許可の一方または両方を付与する必要があります。

  • インシデントを調査し、対応をガイド する (既定) – このオプションを使用すると、専門家はインシデントを事前に監視して調査し、必要な対応アクションをガイドできます。 (アクセス レベル: セキュリティ 閲覧者)
  • アクティブな脅威に直接対応する (推奨) - このオプションを使用すると、調査中にアクティブな脅威をすぐに含めて修復できるため、脅威の影響を軽減し、全体的な対応効率を向上できます。 (アクセス レベル: セキュリティ オペレーター)

XDR 用 Defender Experts の設定中の [除外の管理] オプションのスクリーンショット。

重要

追加のアクセス許可の提供をスキップした場合、エキスパートは特定の応答アクションを実行してorganizationをセキュリティで保護することはできません。

これらの比較的強力なアクセス許可は、エキスパートに付与されますが、特定の領域への個別のアクセス権は限られた期間のみ付与されます。 XDR アクセス許可の Defender Experts のしくみの詳細

エキスパートにアクセス許可を付与するには:

  1. 同じ Defender Experts 設定の [ アクセス許可] で、エキスパートに付与するアクセス レベルを選択します。
  2. organization内のデバイスグループとユーザー グループを修復アクションから除外する場合は、[除外の管理] を選択します。
  3. [ 次へ ] を選択して 、連絡先のユーザーまたはグループを追加します

初期セットアップ後にアクセス許可を編集または更新するには、[設定][ Defender エキスパート>のアクセス許可]> に移動します。

修復からデバイスを除外する

Defender Experts for XDR を使用すると、エキスパートが実行した修復アクションからデバイスとユーザーを除外し、代わりにそれらのエンティティの修復ガイダンスを取得できます。 これらの除外は、Microsoft Defender for Endpointで識別されたデバイス グループに基づいています。

デバイス グループを除外するには:

  1. 同じ Defender Experts 設定の [ 除外] で、[ デバイス グループ ] タブに移動します。

  2. [ + デバイス グループの追加] を選択し、除外するデバイス グループを検索して選択します。

    注:

    このページには、既存のデバイス グループのみが一覧表示されます。 新しいデバイス グループを作成する場合は、まず、Microsoft Defender ポータルの Defender for Endpoint 設定に移動する必要があります。 次に、このページを更新して、新しく作成したグループを検索して選択します。 デバイス グループの作成の詳細

  3. [ デバイス グループの追加] を選択します

  4. [ デバイス グループ ] タブに戻り、除外されたデバイス グループの一覧を確認します。 除外リストからデバイス グループを削除する場合は、そのグループを選択し、[ デバイス グループの削除] を選択します。

  5. [ 次へ ] を選択して除外リストを確認し、 連絡先ユーザーまたはグループの追加に進みます。 それ以外の場合は、[ スキップ] を選択すると、追加したすべての除外が破棄されます。

デバイス グループを除外するオプションのスクリーンショット。

重要な事項に関して連絡するユーザーを教えてください

Defender Experts for XDR を使用すると、重要なインシデント、サービスの更新、時折のクエリ、その他の推奨事項がある場合に通知する必要がある、organization内の個人またはグループを決定できます。

  • インシデント通知の連絡先 – これらの連絡先は、管理された応答アクションまたは即時応答を必要とする通信について通知できる人またはチームです。 通信の緊急性を考えると、これらの連絡先は常に使用可能であることをお勧めします。
  • サービス レビューの連絡先 – これらの連絡先は、サービス配信チームが行う継続的なセキュリティブリーフィングのために関与できる人またはチームです。

特定されると、個人またはグループは、インシデント通知またはサービス レビューの目的で連絡先であることを通知する電子メールを受け取ります。

Defender for Experts XDR 設定の [インシデント連絡先] ページのスクリーンショット。

通知連絡先を追加するには:

  1. 同じ Defender Experts 設定の [連絡先] で、 指定されたテキスト フィールドで 連絡先の担当者またはチーム を検索して追加します。
  2. Defender エキスパートがすぐに注意を必要とする事項を呼び出すことができる 電話番号 (省略可能) を追加します。
  3. [連絡先] ドロップダウン ボックス 、[ インシデント通知 ] または [ サービス レビュー] を選択します。
  4. [追加] を選択します。
  5. [ 次へ ] を選択して連絡先の一覧を確認し、インシデント通知を受信できる Teams チャネルの作成 に進みます。

初期設定後に通知連絡先を編集または更新するには、[設定][ Defender Experts>通知連絡先]> に移動します。

通知連絡先のスクリーンショット。

Microsoft Teams でマネージド応答の通知と更新を受け取る

メールや ポータル内チャットとは別に、Microsoft Teams を使用して、マネージド応答に関する更新プログラムを受け取り、リアルタイムでエキスパートとコミュニケーションを取ることもできます。 この設定をオンにすると、 Defender Experts チーム という名前の新しいチームが作成されます。ここで、進行中のインシデントに関連するマネージド応答通知は 、マネージド応答 チャネルの新しい投稿として送信されます。 Teams チャットの使用の詳細

重要

Defender Experts は、作成された Defender Experts チーム内の任意のチャネルに投稿されたすべてのメッセージにアクセスできます。 Defender エキスパートがこのチームのメッセージにアクセスできないようにするには、[Teams のアプリ] に移動し、[アプリ>の管理] [Defender Experts>Remove] に移動します。 この削除アクションを元に戻すことはできません。

Teams の通知とチャットを有効にするには:

  1. 同じ Defender Experts 設定の [Teams] で、[ Teamsで通信 ] チェック ボックスをオンにします。
  2. [ 次へ ] を選択して設定を確認します。
  3. [送信] を選択します。 その後、ステップ バイ ステップ ガイドで初期セットアップが完了します。
  4. [ 準備状況評価の表示 ] を選択して、 セキュリティ体制を最適化するために必要なアクションを完了します。

注:

Defender Experts Teams アプリケーションを設定するには、グローバル管理者またはセキュリティ管理者ロールが割り当てられているか、Microsoft Teams ライセンスが必要です。

初期セットアップ後に Teams の通知とチャットを有効にするには、[設定] [Defender Experts>Teams]> に移動します。

マネージド応答を受け取るために Teams をアクティブにするオプションのスクリーンショット。

  • 新しいメンバーをチャネルに追加するには、Defender Experts チーム>のその他のオプション (...)> に移動します。チームを管理する>メンバーを追加します
  • Defender Experts チーム>に移動して、このチームに参加できるユーザーを制限できます。その他のオプション (...)>設定>編集>チームを管理する>プライベート

Defender Experts サービスの環境を準備する

オンボーディング サービスの提供とは別に、Microsoft Defender XDR製品スイートに関する専門知識により、Defender Experts for XDR を使用すると、準備状況の評価を実行し、Microsoft セキュリティ製品を最大限に活用できます。

準備状況の評価は、環境内の保護されたデバイスと ID の数と、Defender Experts のポリシーに関する推奨事項に基づいています。 評価を表示するには、Microsoft Defender ポータルで[設定][Defender Experts]>、[サービスの状態] の順に選択します。

準備状況評価環境のスクリーンショット。

準備状況の評価には、次の 2 つの部分があります。

  • 必要なアクション – このセクションには、完了する必要があるアクションまたはセキュリティ設定の数、進行中、または完了済みのアクションの数が表示されます。 これらのアクションは、ページの下部にあるテーブルに一覧表示されます。

    この一覧には、サービスを開始する前に必要な手順の概要が示されています。 [ 今すぐ完了 ] 状態のアクションに優先順位を付けて、Defender Experts for XDR サービスをより早く開始します。

    注:

    セキュリティ設定の最新の状態を取得するには、最大で 24 時間かかることがあります。

  • 保護された資産 – このセクションでは、保護されているデバイスと ID の現在の数と、Defender Experts for XDR サービスを開始するために保護する必要があるデバイスと ID の現在の数を示します。

    この図は、Defender for Endpoint ライセンスと Defender for Identity ライセンスに基づいています。これらの保護された資産の目標数を達成するには、Defender for Endpoint に さらに多くのデバイスをオンボード するか、 Defender for Identity センサーをさらにインストールします

重要

Defender Experts for XDR では、新しいデバイスや ID の追加など、環境に変更がある場合は特に、準備状況の評価が定期的に確認されます。 初期オンボード以外の準備状況評価を定期的に監視して実行し、リスクを軽減するための強力なセキュリティ体制を環境で確保することが重要です。

必要なすべてのタスクを完了し、準備状況評価でオンボード ターゲットを満たした後、サービス配信マネージャー (SDM) は Defender Experts for XDR サービスの監視フェーズを開始します。ここで、数日間、エキスパートが環境の監視を開始し、潜在的な脅威、リスクの原因、および通常のアクティビティを特定します。 重要な資産について理解を深めるにつれて、サービスを合理化し、応答を微調整できます。

エキスパートが代理で包括的な対応作業を開始すると、修復手順が必要な インシデントに関する通知 と、重大なインシデントに対するターゲットの推奨事項の受信が開始されます。 また、重要なクエリや通常のビジネスとセキュリティ体制のレビューに関して 、エキスパート や SDM とチャットすることもできます。 さらに、調査して解決したインシデントの数に関する リアルタイム レポートを表示 することもできます。

次の手順

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします