Microsoft Defender XDRで自動調査と対応機能を構成する

Microsoft Defender XDRには、セキュリティ運用チームに多くの時間と労力を節約できる強力な自動調査と対応機能が含まれています。 自己修復機能を使用すると、これらの機能は、セキュリティ アナリストが脅威を調査して対応するために実行する手順を模倣し、より迅速かつより多くのスケーリング機能を備えています。

この記事では、次の手順を使用して、Microsoft Defender XDRで自動調査と応答を構成する方法について説明します。

1. 前提条件を確認します。
2. デバイス グループの自動化レベルを確認または変更します。
3. Office 365でセキュリティとアラートのポリシーを確認します。

次に、すべての設定が完了したら、 アクション センターで修復アクションを表示および管理できます。 また、必要に応じて、 自動調査設定に変更を加えることができます。

Microsoft Defender XDRでの自動調査と対応の前提条件

要件	詳細
サブスクリプションの要件	次のいずれかのサブスクリプション: Microsoft 365 E5 Microsoft 365 A5 Microsoft 365 E5 Security アドオンを使用したMicrosoft 365 E3 Microsoft 365 A5 セキュリティ アドオンを使用したMicrosoft 365 A3 Office 365 E5 プラス Enterprise Mobility + Security E5 + Windows E5 「Microsoft Defender XDR ライセンス要件」を参照してください。
ネットワーク要件	有効Microsoft Defender for Identity Microsoft Defender for Cloud Apps構成済み Microsoft Defender for Identity統合
Windows デバイスの要件	Windows 11 バージョン 1709 以降がインストールされているWindows 10 (Windows リリース情報を参照) 次の脅威保護サービスが構成されています。 Microsoft Defender for Endpoint Microsoft Defender ウイルス対策
メール コンテンツと Office ファイルの保護	Microsoft Defender for Office 365が構成されている Defender for Endpoint の自動調査と修復機能が構成されている (デバイス上の電子メール メッセージの削除など、手動による応答アクションに必要)
アクセス許可	自動調査と応答の機能を構成するには、次のいずれかのロールを Microsoft Entra ID () またはMicrosoft 365 管理センター (https://portal.azure.comhttps://admin.microsoft.com) に割り当てる必要があります。 グローバル管理者 セキュリティ管理者 保留中のアクションを確認、承認、拒否するなど、自動調査と対応の機能を使用するには、「 アクション センター タスクに必要なアクセス許可」を参照してください。

デバイス グループの自動化レベルを確認または変更する

自動調査が実行されているかどうか、および修復アクションが自動的に実行されるか、デバイスの承認時にのみ実行されるかは、organizationのデバイス グループ ポリシーなどの特定の設定によって異なります。 デバイス グループ ポリシーの構成済みの自動化レベルを確認します。 次の手順を実行するには、グローバル管理者またはセキュリティ管理者である必要があります。

1. Microsoft Defender ポータルhttps://security.microsoft.comに移動し、サインインします。

2. [ 設定>] [エンドポイント>] [デバイス グループ ] の [ アクセス許可] に移動します。

3. デバイス グループ ポリシーを確認します。 特に、 Automation レベル 列を見てください。 脅威を自動的に修復するフル - 修復を使用することをお勧めします。 必要な自動化のレベルを取得するには、デバイス グループを作成または編集する必要がある場合があります。 このタスクのヘルプについては、次の記事を参照してください。

   • 脅威の修復方法
   • デバイス グループの作成と管理

Office 365でセキュリティとアラート のポリシーを確認する

Microsoft には、特定のリスクを特定するのに役立つ組み込みの アラート ポリシー が用意されています。 これらのリスクには、Exchange 管理者のアクセス許可の乱用、マルウェア アクティビティ、潜在的な外部および内部の脅威、データ ライフサイクル管理リスクなどがあります。 一部のアラートでは、Office 365で自動調査と応答をトリガーできます。 [Defender for Office 365]/defender-office-365/mdo-about 機能が正しく構成されていることを確認します。

特定のアラートとセキュリティ ポリシーは自動調査をトリガーできますが、 電子メールとコンテンツに対して修復アクションは自動的に実行されません。 代わりに、電子メールと電子メール コンテンツに対するすべての修復アクションは、 アクション センターでセキュリティ運用チームによる承認を待っています。

Exchange Online Protection (EOP) とDefender for Office 365のセキュリティ設定は、メールとコンテンツの保護に役立ちます。 Standard および Strict の事前設定されたセキュリティ ポリシーを 使用して、ユーザーに保護を割り当てることをお勧めします。

カスタム ポリシーを使用している場合は、 構成アナライザー を使用して、ポリシー設定を Standard および Strict の事前設定されたセキュリティ ポリシー設定と比較します。 すべてのポリシー設定の詳細な一覧については、「EOP と Microsoft Defender for Office 365 セキュリティの推奨設定」の表を参照してください。

アラート ポリシーは、Defender ポータルhttps://security.microsoft.com>の [ポリシー] & ルール>アラート ポリシーまたは でhttps://security.microsoft.com/alertpoliciesv2直接確認できます。 [ 脅威管理 ] カテゴリには、いくつかの既定のアラート ポリシーがあります。 脅威管理カテゴリのアラート ポリシーの一部では、自動調査と応答をトリガーできます。 詳細については、「 脅威管理アラート ポリシー」を参照してください。

自動調査設定を変更する必要がありますか?

自動調査および応答機能の設定を変更するには、いくつかのオプションから選択できます。 一部のオプションを次の表に示します。

目的	次の手順に従います
デバイスのグループのオートメーション レベルを指定する	1 つ以上のデバイス グループを設定します。 デバイス グループのCreateと管理に関するページを参照してください。 Microsoft Defender ポータルで、[アクセス許可>エンドポイント] ロール & グループ[デバイス グループ>] に移動します。 デバイス グループを選択し、その Automation レベル の設定を確認します。 ( 完全 - 脅威を自動的に修復する) を使用することをお勧めします)。 自動調査と修復機能の自動化レベルに関するページを参照してください。 すべてのデバイス グループに対して、必要に応じて手順 2 と 3 を繰り返します。

次の手順

• Microsoft Defender XDRでの修復アクション
• アクション センターにアクセスする

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。