アクション センター
適用対象:
- Microsoft 365 Defender
アクション センターでは、インシデントタスクやアラート タスクに対して次のような "単一ウィンドウ" エクスペリエンスが提供されます。
- 保留中の修復アクションを承認する。
- 既に承認されている修復アクションの監査ログを表示する。
- 完了した修復アクションを確認する。
アクション センターでは、職場でのMicrosoft 365 Defenderの包括的なビューが提供されるため、セキュリティ運用チームはより効果的かつ効率的に運用できます。
統合アクション センター
統合アクション センター (https://security.microsoft.com/action-center) には、デバイス、電子メール & コラボレーション コンテンツ、ID の保留中および完了した修復アクションが 1 つの場所に一覧表示されます。
例:
- Microsoft Defender セキュリティ センター (https://securitycenter.windows.com/action-center) でアクション センターを使用していた場合は、Microsoft 365 Defender ポータルで統合アクション センターを試してください。
- Microsoft 365 Defender ポータルを既に使用していた場合は、アクション センター (https://security.microsoft.com/action-center) にいくつかの機能強化が表示されます。
統合アクション センターは、Defender for Endpoint と Defender for Office 365全体で修復アクションをまとめます。 すべての修復アクションの共通言語を定義し、統合された調査エクスペリエンスを提供します。 セキュリティ運用チームには、修復アクションを表示および管理するための "1 つのウィンドウ" エクスペリエンスがあります。
適切なアクセス許可と次のサブスクリプションの 1 つ以上がある場合は、統合アクション センターを使用できます。
ヒント
詳細については、「 要件」を参照してください。
承認待ちのアクションの一覧には、次の 2 つの異なる方法で移動できます。
- または に移動します https://security.microsoft.com/action-center。
- Microsoft 365 Defender ポータル (https://security.microsoft.com) の [自動調査&応答] カードで、[アクション センターで承認] を選択します。
アクション センターの使用
ポータルMicrosoft 365 Defender移動し、サインインします。
ナビゲーション ウィンドウで、[アクション センター] を選択します。 または、自動調査 & 応答カード で、アクション センターで [承認] を選択します。
[保留中のアクション] タブと [履歴] タブを使用します。 次の表は、各タブに表示される内容をまとめたものです。
タブ 説明 Pending 注意が必要なアクションの一覧を表示します。 一度に 1 つずつアクションを承認または拒否したり、同じ種類のアクション (検疫ファイルなど) を持つ複数のアクションを選択したりできます。
自動調査をタイムリーに完了できるように、保留中のアクションをできるだけ早く確認して承認 (または拒否) してください。履歴 次のような、実行されたアクションの監査ログとして機能します。
- 自動調査の結果として実行された修復アクション
- 疑わしいまたは悪意のあるメール メッセージ、ファイル、または URL に対して実行された修復アクション
- セキュリティ運用チームによって承認された修復アクション
- 実行されたコマンドと、ライブ応答セッション中に適用された修復アクション
- ウイルス対策保護によって実行された修復アクション
特定のアクションを元に戻す方法を提供します (「 完了した操作を元に戻す」を参照)。アクション センターでは、データのカスタマイズ、並べ替え、フィルター処理、エクスポートを行うことができます。
- 列見出しを選択して、項目を昇順または降順で並べ替えます。
- 期間フィルターを使用して、過去 1 日、週、30 日、または 6 か月のデータを表示します。
- 表示する列を選択します。
- データの各ページに含める項目の数を指定します。
- フィルターを使用して、表示する項目のみを表示します。
- [ エクスポート] を選択して、結果を.csv ファイルにエクスポートします。
アクション センターで追跡されるアクション
すべての修復アクションは、承認待ちか既に承認済みかにかかわらず、アクションセンターに統合されます。 使用可能なアクションは次のとおりです。
- 調査パッケージの収集
- デバイスの分離 (この操作は元に戻すことができます)
- コンピューターのオフロード
- リリース コードの実行
- 検疫からの解放
- サンプルの要求
- コードの実行を制限する (このアクションは元に戻すことができます)
- ウイルス対策スキャンの実行
- 停止と検疫
- ネットワークからデバイスを格納する
アクション センターでは、自動調査の結果として自動的に実行される修復アクションに加えて、検出された脅威に対処するためにセキュリティ チームが実行したアクションと、Microsoft 365 Defenderの脅威保護機能の結果として実行されたアクションも追跡します。 自動修復アクションと手動修復アクションの詳細については、「 修復アクション」を参照してください。
アクション ソースの詳細の表示
(NEW!)改善されたアクション センターに、各アクションの送信元を示す [アクション ソース ] 列が含まれるようになりました。 次の表では、 考えられるアクション ソース 値について説明します。
| アクション ソースの値 | 説明 |
|---|---|
| デバイスの手動操作 | デバイスで手動で実行されるアクション。 たとえば、 デバイスの分離 や ファイル検疫などがあります。 |
| 手動の電子メール アクション | 電子メールで実行された手動アクション。 たとえば、電子メール メッセージの論理的な削除や 電子メール メッセージの修復が含まれます。 |
| 自動デバイス アクション | ファイルやプロセスなど、エンティティに対して実行される自動アクション。 自動アクションの例としては、検疫へのファイルの送信、プロセスの停止、レジストリ キーの削除などがあります。 (「Microsoft Defender for Endpointの修復アクション」を参照してください)。 |
| 自動メール アクション | 電子メール メッセージ、添付ファイル、URL など、電子メール コンテンツに対して実行される自動アクション。 自動アクションの例としては、電子メール メッセージの論理的な削除、URL のブロック、外部メール転送のオフなどがあります。 (「Microsoft Defender for Office 365の修復アクション」を参照してください)。 |
| 高度なハンティング アクション | 高度なハンティングを使用してデバイスまたは電子メールに対して実行されるアクション。 |
| エクスプローラー アクション | エクスプローラーを使用して電子メール コンテンツに対して実行されたアクション。 |
| 手動ライブ応答アクション | ライブ応答を使用してデバイスで実行されたアクション。 たとえば、ファイルの削除、プロセスの停止、スケジュールされたタスクの削除などがあります。 |
| ライブ応答アクション | Microsoft Defender for Endpoint API を使用してデバイスで実行されるアクション。 アクションの例としては、デバイスの分離、ウイルス対策スキャンの実行、ファイルに関する情報の取得などがあります。 |
アクション センター タスクに必要なアクセス許可
アクション センターで保留中のアクションの承認や拒否などのタスクを実行するには、次の表に示すようにアクセス許可が割り当てられている必要があります。
| 修復アクション | 必要な役割と権限 |
|---|---|
| Microsoft Defender for Endpoint修復 (デバイス) | Azure Active Directory (Azure AD) () または Microsoft 365 管理センター (https://portal.azure.comhttps://admin.microsoft.com) のいずれかで割り当てられたセキュリティ管理者ロール --- または --- Microsoft Defender for Endpointで割り当てられたアクティブな修復アクション ロール 詳細については、次のリソースを参照してください。 - Azure AD 組み込みロール - ロールベースのアクセス制御のロールを作成および管理する (Microsoft Defender for Endpoint) |
| Microsoft Defender for Office 365修復 (Office コンテンツと電子メール) | Azure AD () またはMicrosoft 365 管理センター (https://portal.azure.comhttps://admin.microsoft.com) のいずれかで割り当てられたセキュリティ管理者ロール --- さらに --- Microsoft 365 Defender Email > コラボレーション ロールで割り当てられているロールの &検索と消去 重要: Microsoft 365 Defender Email & コラボレーション ロールでのみ>セキュリティ管理者ロールが割り当てられている場合、アクション センターまたはMicrosoft 365 Defender機能にアクセスすることはできません。 Azure AD またはMicrosoft 365 管理センターでセキュリティ管理者ロールが割り当てられている必要があります。 詳細については、次のリソースを参照してください。 - Azure AD 組み込みロール - セキュリティ & コンプライアンス センターのアクセス許可 |
ヒント
Azure AD で グローバル管理者 ロールが割り当てられているユーザーは、アクション センターで保留中のアクションを承認または拒否できます。 ただし、ベスト プラクティスとして、 グローバル管理者 ロールが割り当てられているユーザーの数を組織で制限する必要があります。 アクション センターのアクセス許可については、前の表に示した セキュリティ管理者、 アクティブな修復アクション、および 検索ロールと消去 ロールを使用することをお勧めします。