Microsoft Defender XDRでの脅威分析

注:

Microsoft Defender XDRを体験したいですか? Microsoft Defender XDRを評価およびパイロットする方法について詳しくは、こちらをご覧ください。

適用対象:

  • Microsoft Defender XDR

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

脅威の分析は、Microsoft の専門家であるセキュリティ研究者による、Microsoft 製品内の脅威インテリジェンス ソリューションです。 次のような新たな脅威に直面しても、セキュリティ チームができるだけ効率よく対応できるように設計されています。

  • アクティブな脅威アクターとその攻撃活動
  • 人気のある新しい攻撃手法
  • 重大な脆弱性
  • 一般的な攻撃対象領域
  • 流行しているマルウェア

脅威分析が最新の脅威を追跡して停止する方法の詳細については、この短いビデオをご覧ください。

脅威分析には、Microsoft Defender XDRのナビゲーション バーの左上から、または組織に対する上位の脅威を表示する専用ダッシュボード カードから、既知の影響と露出の両方でアクセスできます。

脅威分析のランディング ページのスクリーンショット

アクティブまたは進行中の攻撃活動を可視化し、脅威の分析を通じて対処方法を把握することで、セキュリティ運用チームが情報に基づいた意思決定をすることができるようになります。

より高度な敵対者や新しい脅威が頻繁に出現し蔓延する中、次のことをすぐできることが重要です。

  • 新たな脅威を特定して対応する
  • 現在攻撃を受けているかどうかを確認する
  • 資産に対する脅威の影響を評価する
  • 脅威に対する回復性または脅威への露出を確認する
  • 脅威を停止または封じ込めるために実行できる軽減策、回復、または防止アクションを特定する

各レポートには、追跡対象の脅威の分析と、その脅威に対する防御方法に関する広範なガイダンスが用意されています。 また、ネットワークからのデータも組み込まれており、脅威がアクティブかどうかと、該当する保護が適用されているかどうかを示します。

脅威分析ダッシュボードを表示する

脅威分析ダッシュボード (security.microsoft.com/threatanalytics3) では、organizationに最も関連するレポートが強調表示されます。 脅威を次のセクションにまとめます。

  • 最新の脅威 - 最新に公開または更新された脅威レポートと、アクティブなアラートと解決されたアラートの数が一覧表示されます。
  • 影響の大きい脅威 — organizationに最も影響を与える脅威を一覧表示します。 このセクションでは、最初にアクティブなアラートと解決済みアラートの数が最も多い脅威の一覧を示します。
  • 最も露出が高い — 組織の露出が最も高い脅威を一覧表示します。 脅威に対する露出レベルは、脅威に関連する脆弱性の深刻さと、それらの脆弱性によって悪用される可能性があるorganization内のデバイスの数という 2 つの情報を使用して計算されます。

脅威分析ダッシュボードのスクリーンショット。

ダッシュボードから脅威を選択すると、その脅威のレポートが表示されます。 [検索] フィールドを選択して、読み取る脅威分析レポートに関連するキーワード (keyword)でキーを設定することもできます。

カテゴリ別にレポートを表示する

脅威レポートの一覧をフィルター処理し、特定の脅威の種類またはレポートの種類に応じて最も関連性の高いレポートを表示できます。

  • 脅威タグ - 特定の脅威カテゴリに従って最も関連性の高いレポートを表示するのに役立ちます。 たとえば、[ランサムウェア] タグには、 ランサムウェア に関連するすべてのレポートが含まれます。
  • レポートの種類 - 特定のレポートの種類に応じて、最も関連性の高いレポートを表示するのに役立ちます。 たとえば、[ ツール & 手法 ] タグには、ツールと手法に対応するすべてのレポートが含まれています。

さまざまなタグには同等のフィルターがあり、脅威レポートの一覧を効率的に確認し、特定の脅威タグまたはレポートの種類に基づいてビューをフィルター処理できます。 たとえば、ランサムウェア カテゴリに関連するすべての脅威レポート、または脆弱性に関連する脅威レポートを表示する場合などです。

Microsoft 脅威インテリジェンス チームは、各脅威レポートに脅威タグを追加しました。 現在、次の 4 つの脅威タグを使用できます。

  • ランサムウェア
  • フィッシング詐欺
  • 脆弱性
  • アクティビティ グループ

脅威タグは、脅威の分析ページの上部に表示されます。 各タグの下に使用可能なレポート数が表示されます。

脅威分析レポート タグのスクリーンショット。

一覧で目的のレポートの種類を設定するには、[ フィルター] を選択し、一覧から選択し、[ 適用] を選択します。

[フィルター] リストのスクリーンショット。

複数のフィルターを設定している場合は、脅威分析レポートの一覧を脅威タグ列を選択して脅威タグで並べ替えることもできます。

脅威タグ列のスクリーンショット。

脅威分析レポートを表示する

各脅威分析レポートには、いくつかのセクションに関する情報が用意されています。

概要: 脅威をすばやく理解し、その影響を評価し、防御を確認する

[ 概要] セクションでは、詳細なアナリスト レポートのプレビューを提供します。 また、organizationに対する脅威の影響と、正しく構成されていないデバイスやパッチが適用されていないデバイスを介した露出を示すグラフも提供されます。

脅威分析レポートの概要セクションのスクリーンショット。

organizationへの影響を評価する

各レポートには、脅威の組織への影響に関する情報を提供できるように設計されたグラフが含まれています。

  • 関連インシデント - 追跡された脅威がorganizationに与える影響の概要を、次のデータと共に提供します。
    • アクティブなアラートの数と、関連付けられているアクティブなインシデントの数
    • アクティブなインシデントの重大度
  • 時間の経過に伴うアラート - 関連する アクティブ アラートと 解決済み アラートの数が経時的に表示されます。 解決されたアラートの数は、脅威に関連付けられたアラートにorganizationが応答する速度を示します。 理想的には、数日以内に解決されているアラートがグラフに表示されます。
  • 影響を受けた資産 - 追跡対象の脅威に関連付けられているアクティブなアラートが少なくとも 1 つ存在する個別のデバイスとメール アカウント (メールボックス) の数を示します。 脅威メールを受信したメールボックスに対してアラートがトリガーされます。 脅威メールの配信を引き起こすオーバーライドについては、組織レベルとユーザー レベルの両方のポリシーを確認します。
  • [禁止されたメールの試行] - 配信前にブロックされた、または迷惑メール フォルダーに配信された過去 7 日間のメールの数を示します。

セキュリティの回復性と態勢を確認する

各レポートには、特定の脅威に対するorganizationの回復性の概要を示すグラフが含まれています。

  • [セキュリティで保護された構成状態] - セキュリティ設定が正しく構成されていないデバイスの数が表示されます。 脅威の軽減に役立つ推奨セキュリティ設定を適用します。 追跡対象のすべての設定が適用されている場合、デバイスは安全と見なされます。
  • 脆弱性修正プログラムの状態 - 脆弱なデバイスの数を示します。 セキュリティ更新プログラムまたはパッチを適用して、脅威によって悪用された脆弱性に対処します。

アナリスト レポート: Microsoft セキュリティ研究者から専門家の分析情報を取得する

[ アナリスト レポート ] セクションで、詳細なエキスパートの書き込みを読みます。 ほとんどのレポートでは、MITRE ATT&CK フレームワークにマップされた戦術と手法、推奨事項の網羅的なリスト、強力な 脅威ハンティング ガイダンスなど、攻撃チェーンの詳細な説明が提供されます。

アナリスト レポートの詳細

[関連インシデント] タブには、追跡対象の脅威に関連するすべてのインシデントの一覧が表示されます。 インシデントの割り当て、または各インシデントにリンクされているアラートの管理ができます。

脅威分析レポートの関連インシデント セクションのスクリーンショット。

影響を受ける資産: 影響を受けるデバイスとメールボックスの一覧を取得する

資産がアクティブな未解決のアラートの影響を受ける場合、影響を受けたと見なされます。 [影響を受ける資産] タブには、次の種類の影響を受ける資産が一覧表示されます。

  • 影響を受けたデバイス - Microsoft Defender for Endpointアラートが未解決のエンドポイント。 これらのアラートは、通常、既知の脅威インジケーターとアクティビティの表示に対して発生します。
  • 影響を受けるメールボックス - アラートをトリガーした電子メール メッセージを受信したメールボックスMicrosoft Defender for Office 365。 通常、アラートをトリガーするほとんどのメッセージはブロックされますが、ユーザー レベルまたは組織レベルのポリシーでフィルターを上書きすることができます。

脅威分析レポートの影響を受けた資産セクションのスクリーンショット。

メール試行の防止: ブロックされた脅威メールまたは迷惑メールを表示する

Microsoft Defender for Office 365 では通常、悪意のあるリンクや添付ファイルなど、既知の脅威インジケーターを含むメールをブロックします。 場合によっては、代わりに疑わしいコンテンツをチェックするプロアクティブなフィルター処理メカニズムによって、迷惑メール フォルダーに脅威メールが送信されることもあります。 いずれの場合も、脅威がデバイスでマルウェア コードを起動する可能性は低くなります。

[禁止されたメールの試行] タブには、配信前にブロックされたか、Microsoft Defender for Office 365によって迷惑メール フォルダーに送信されたすべてのメールが一覧表示されます。

脅威分析レポートの禁止されたメールの試行セクションのスクリーンショット。

露出と軽減策: 軽減策の一覧とデバイスの状態を確認する

[ 露出 & 軽減策 ] セクションで、脅威に対する組織の回復性を高めるのに役立つ特定の実用的な推奨事項の一覧を確認します。 追跡対象の軽減策の一覧は次のとおりです。

  • セキュリティ更新プログラム - オンボードされたデバイスで見つかった脆弱性に対するサポートされているソフトウェア セキュリティ更新プログラムの展開
  • サポートされているセキュリティ構成
    • クラウドによる保護
    • 望ましくない可能性のあるアプリケーション (PUA) 保護
    • リアルタイム保護

このセクションの軽減策情報には、Microsoft Defender 脆弱性の管理からのデータが組み込まれており、レポートのさまざまなリンクからの詳細なドリルダウン情報も提供されます。

セキュリティで保護された構成の詳細を示す脅威分析レポートの軽減策セクション

脆弱性の詳細を示す脅威分析レポートの軽減策セクション

脅威分析レポートの露出 & 軽減策セクション

レポートの更新に関する電子メール通知を設定する

脅威分析レポートの更新を送信する電子メール通知を設定できます。 電子メール通知を作成するには、「Microsoft Defender XDRの脅威分析の更新プログラムの電子メール通知を取得する」の手順に従います。

その他のレポートの詳細と制限事項

注:

統合セキュリティ エクスペリエンスの一環として、脅威分析はMicrosoft Defender for Endpointだけでなく、Microsoft Defender for Office 365ライセンス所有者にも使用できるようになりました。

Microsoft 365 セキュリティ ポータル (Microsoft Defender XDR) を使用していない場合は、レポートの詳細 (Office データのMicrosoft Defenderなし) をMicrosoft Defender セキュリティ センター ポータル (Microsoft Defender for Endpoint)。

脅威分析レポートにアクセスするには、特定のロールとアクセス許可が必要です。 詳細については、「ロールベースのアクセス制御のカスタム ロール」を参照Microsoft Defender XDR

  • アラート、インシデント、または影響を受ける資産データを表示するには、Office またはMicrosoft Defender for Endpointアラート データ、またはその両方をMicrosoft Defenderするアクセス許可が必要です。
  • 禁止されているメール試行を表示するには、Office ハンティング データのMicrosoft Defenderアクセス許可が必要です。
  • 軽減策を表示するには、Microsoft Defender for Endpointの Defender 脆弱性管理データに対するアクセス許可が必要です。

脅威分析データを確認するときは、次の要因に注意してください。

  • グラフには、追跡される軽減策のみが反映されます。 グラフに表示されないその他の軽減策については、レポートの概要を確認してください。
  • 軽減策では、完全な回復性は保証されません。 提供される軽減策には、回復性を向上させるために必要な最善のアクションが反映されています。
  • デバイスがサービスにデータを送信していない場合、デバイスは "使用不可" としてカウントされます。
  • ウイルス対策関連の統計は、Microsoft Defenderウイルス対策設定に基づいています。 サード パーティのウイルス対策ソリューションを持つデバイスは、"公開" として表示される場合があります。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。