Microsoft Defender XDRで自動調査と対応機能を構成する
Microsoft Defender XDRには、セキュリティ運用チームに多くの時間と労力を節約できる強力な自動調査と対応機能が含まれています。 自己修復機能を使用すると、これらの機能は、セキュリティ アナリストが脅威を調査して対応するために実行する手順を模倣し、より迅速かつより多くのスケーリング機能を備えています。
この記事では、次の手順を使用して、Microsoft Defender XDRで自動調査と応答を構成する方法について説明します。
次に、すべての設定が完了したら、 アクション センターで修復アクションを表示および管理できます。 また、必要に応じて、 自動調査設定に変更を加えることができます。
Microsoft Defender XDRでの自動調査と対応の前提条件
要件 | 詳細 |
---|---|
サブスクリプションの要件 | 次のいずれかのサブスクリプション:
「Microsoft Defender XDR ライセンス要件」を参照してください。 |
ネットワーク要件 | |
Windows デバイスの要件 |
|
メール コンテンツと Office ファイルの保護 |
|
アクセス許可 | 自動調査と応答の機能を構成するには、次のいずれかのロールを Microsoft Entra ID () またはMicrosoft 365 管理センター (https://portal.azure.comhttps://admin.microsoft.com) に割り当てる必要があります。
|
デバイス グループの自動化レベルを確認または変更する
自動調査が実行されているかどうか、および修復アクションが自動的に実行されるか、デバイスの承認時にのみ実行されるかは、organizationのデバイス グループ ポリシーなどの特定の設定によって異なります。 デバイス グループ ポリシーの構成済みの自動化レベルを確認します。 次の手順を実行するには、グローバル管理者またはセキュリティ管理者である必要があります。
Microsoft Defender ポータルhttps://security.microsoft.comに移動し、サインインします。
[ 設定>] [エンドポイント>] [デバイス グループ ] の [ アクセス許可] に移動します。
デバイス グループ ポリシーを確認します。 特に、 Automation レベル 列を見てください。 脅威を自動的に修復するフル - 修復を使用することをお勧めします。 必要な自動化のレベルを取得するには、デバイス グループを作成または編集する必要がある場合があります。 このタスクのヘルプについては、次の記事を参照してください。
Office 365でセキュリティとアラート のポリシーを確認する
Microsoft には、特定のリスクを特定するのに役立つ組み込みの アラート ポリシー が用意されています。 これらのリスクには、Exchange 管理者のアクセス許可の乱用、マルウェア アクティビティ、潜在的な外部および内部の脅威、データ ライフサイクル管理リスクなどがあります。 一部のアラートでは、Office 365で自動調査と応答をトリガーできます。 [Defender for Office 365]/defender-office-365/mdo-about 機能が正しく構成されていることを確認します。
特定のアラートとセキュリティ ポリシーは自動調査をトリガーできますが、 電子メールとコンテンツに対して修復アクションは自動的に実行されません。 代わりに、電子メールと電子メール コンテンツに対するすべての修復アクションは、 アクション センターでセキュリティ運用チームによる承認を待っています。
Exchange Online Protection (EOP) とDefender for Office 365のセキュリティ設定は、メールとコンテンツの保護に役立ちます。 Standard および Strict の事前設定されたセキュリティ ポリシーを 使用して、ユーザーに保護を割り当てることをお勧めします。
カスタム ポリシーを使用している場合は、 構成アナライザー を使用して、ポリシー設定を Standard および Strict の事前設定されたセキュリティ ポリシー設定と比較します。 すべてのポリシー設定の詳細な一覧については、「EOP と Microsoft Defender for Office 365 セキュリティの推奨設定」の表を参照してください。
アラート ポリシーは、Defender ポータルhttps://security.microsoft.com>の [ポリシー] & ルール>アラート ポリシーまたは でhttps://security.microsoft.com/alertpoliciesv2直接確認できます。 [ 脅威管理 ] カテゴリには、いくつかの既定のアラート ポリシーがあります。 脅威管理カテゴリのアラート ポリシーの一部では、自動調査と応答をトリガーできます。 詳細については、「 脅威管理アラート ポリシー」を参照してください。
自動調査設定を変更する必要がありますか?
自動調査および応答機能の設定を変更するには、いくつかのオプションから選択できます。 一部のオプションを次の表に示します。
目的 | 次の手順に従います |
---|---|
デバイスのグループのオートメーション レベルを指定する |
|
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示