調査と修復の自動化機能を構成する

  • 5 分

自動化された調査と修復を構成するには、機能を有効にしてから、デバイス グループを設定します。

調査と修復の自動化を有効にする

全体管理者またはセキュリティ管理者として、次のようにします。

  1. ナビゲーション ウィンドウで、[設定] > [エンドポイント] を選択します。

  2. [全般] セクションで、[高度な機能] を選択します。

  3. [Automated Investigation](自動調査) と [Automatically resolve alerts](アラートの自動解決) の両方をオンにします。

デバイス グループの設定

  1. ナビゲーション ウィンドウの [エンドポイント] にある [アクセス許可] で、[デバイス グループ] を選びます。

  2. [+ Add device group](+ デバイス グループの追加) を選択します。

    • 次のように、少なくとも 1 つのデバイス グループを作成します。

      • デバイス グループの名前と説明を入力します。

      • [Automation level](自動化レベル) の一覧で、[Full – remediate threats automatically](完全 – 脅威を自動的に修復する) などのレベルを選択します。 自動化レベルによって、自動修復アクションが自動的に行われるか、承認時にのみ実行されるかが決まります。 詳細については、脅威の修復方法に関するページを参照してください。

      • [デバイス] セクションで、1 つまたは複数の条件を使ってデバイスを識別して含めます。

      • [ユーザー アクセス] タブで、作成しているデバイス グループへのアクセス権を持つ Azure Active Directory グループを選択します。

  3. デバイス グループの設定が完了したら、[完了] を選択します。

自動化レベル

Full - remediate threats automatically (完全 - 脅威を自動的に修復する) (完全自動化とも呼ばれます)

完全自動化では、修復アクションは自動的に実行されます。 実行されるすべての修復アクションは、アクション センターの [履歴] タブに表示されます。必要に応じて、修復アクションを元に戻すことができます。

Semi - require approval for any remediation (半自動 - すべての修復の承認が必要) (半自動化とも呼ばれます)

このレベルの半自動化では、すべての修復アクションに対して承認が必要です。 このような保留中のアクションは、アクション センターの [保留中] タブで表示および承認できます。

Semi - require approval for core folders remediation (半自動 - コア フォルダーの修復については承認が必要) (これも半自動化の一種です)

このレベルの半自動化では、コア フォルダー内にあるファイルまたは実行可能ファイルに対して必要なすべての修復アクションについて、承認が必要になります。 コア フォルダーには、Windows (\windows*) などのオペレーティング システムのディレクトリが含まれます。 修復アクションは、他の (コアでない) フォルダー内にあるファイルまたは実行可能ファイルに対しては自動的に実行できます。 コア フォルダー内のファイルまたは実行可能ファイルに対する保留中のアクションは、アクション センターの [保留中] タブで表示および承認できます。他のフォルダーのファイルまたは実行可能ファイルに対して実行されたアクションは、アクション センターの [履歴] タブで表示できます。

Semi - require approval for non-temp folders remediation (半自動 - 一時フォルダー以外の修復については承認が必要) (これも半自動化の一種です)

このレベルの半自動化では、一時フォルダー以外にあるファイルまたは実行可能ファイルに対して必要なすべての修復アクションについて、承認が必要になります。

一時フォルダーには、次の例を含めることができます。

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

修復アクションは、一時フォルダー内にあるファイルまたは実行可能ファイルに対しては自動的に実行できます。 一時フォルダーにないファイルまたは実行可能ファイルに対する保留中のアクションは、アクション センターの [保留中] タブで表示および承認できます。一時フォルダーのファイルまたは実行可能ファイルに対して実行されたアクションは、アクション センターの [履歴] タブで表示できます。

No automated response (自動応答なし) ("自動化なし" とも呼ばれます)

自動化なしの場合、組織のデバイスに対して自動調査は実行されません。 その結果、自動調査の結果として、修復アクションは実行されず、保留もされません。 ただし、望ましくない可能性のあるアプリケーションからの保護など、その他の脅威保護機能は、ウイルス対策と次世代の保護機能の構成方法によっては、有効になることがあります。

組織のデバイスのセキュリティを低下させるため、自動化なしのオプションを使用することはお勧めできません。 自動化レベルを完全自動化 (または、少なくとも半自動化) に設定することを検討してください。

デバイス グループの修復レベルをすばやく構成する

デバイス グループの修復レベルを設定または更新する別の方法として、[設定]、[全般]、[Auto remediation](自動修復) ページがあります。 このページには、デバイス グループの一覧と、それぞれの現在の修復レベルが表示されます。 行を選択すると、修復設定を調整できます。