自動調査の管理

  • 3 分

自動調査の管理

Microsoft Defender でエンドポイントから悪意のあるまたは疑わしい成果物が検出されるたびに、セキュリティ運用チームはアラートを受け取ります。 セキュリティ運用チームは、おそらく終わることのない脅威の流入から生じる多くのアラートに対処するという課題に直面しています。 Microsoft Defender for Endpoint には、セキュリティ運用チームがより効率的かつ効果的に脅威に対処できるようにするための、調査と修復の自動化 (AIR) 機能が含まれています。

自動調査のテクノロジではさまざまな検査アルゴリズムが使用され、セキュリティ アナリストによって使用されるプロセスに基づいています。 AIR 機能は、アラートを調査し、侵害を解決するために直ちにアクションを実行するように設計されています。 AIR 機能によってアラートの量を大幅に削減できるため、セキュリティ運用チームはより高度な脅威やその他の価値の高い取り組みに集中できます。 アクション センターでは、自動的に開始されたすべての調査が、調査の状態、検出ソース、保留中または完了したアクションなどの詳細情報とともに追跡されます。

自動調査の開始方法

アラートがトリガーされると、セキュリティ プレイブックが有効になります。 セキュリティ プレイブックによって、自動化された調査を開始できます。 たとえば、悪意のあるファイルがデバイス上に存在するとします。 このファイルが検出されると、アラートがトリガーされ、自動調査プロセスが開始されます。 Microsoft Defender for Endpoint では、悪意のあるファイルが組織内の他のデバイスに存在するかどうかを確認します。 判定 ([悪意のある]、[疑わしい]、[脅威は見つかりませんでした]) などの調査からの詳細情報は、自動調査中およびその後に利用できます。 判定を下した後の処理の詳細については、自動調査の結果と修復アクションに関する記事を参照してください。

自動調査の詳細

自動調査中およびその後に、調査に関する詳細を表示できます。 トリガーしているアラートを選択すると、調査の詳細が表示されます。 そこから、[調査] グラフ、[アラート]、[デバイス]、[証拠]、[エンティティ]、[ログ] タブにアクセスできます。

  • [アラート] - 調査を開始したアラート。

  • [デバイス] - 脅威が検出されたデバイス。

  • [証拠] - 調査中に悪意があることが検出されたエンティティ。

  • [エンティティ] - 各エンティティの種類の決定 ([悪意のある]、[疑わしい]、または [脅威は見つかりませんでした] など) を含む、分析された各エンティティの詳細。

  • [ログ] - アラートに対して実行されたすべての調査アクションの詳細な時系列ビュー。

  • [保留中の操作] - 調査の結果として承認を待機しているアクションがある場合、[保留中の操作] タブが表示されます。 [保留中の操作] タブでは、各操作を承認または拒否できます。

自動調査によるスコープの拡張方法

調査の実行中、そのデバイスから生成されたその他のアラートは、その調査が完了するまで継続的な自動調査に追加されます。 また、同じ脅威が他のデバイスでも見られる場合は、それらのデバイスが調査に追加されます。

有害なエンティティが別のデバイスに見られる場合、自動調査プロセスによってそのデバイスが含まれるようにスコープが拡張され、そのデバイスで一般的なセキュリティ プレイブックが開始されます。 同じエンティティからのこの展開プロセス中に 10 個以上のデバイスが検出された場合、その展開アクションは承認を必要とし、[保留中の操作] タブに表示されます。

脅威の修復方法

アラートがトリガーされ、自動調査が実行されると、調査対象のそれぞれの証拠に対して判定が生成されます。 判定は、[悪意のある]、[疑わしい]、[脅威は見つかりませんでした] である場合があります。

判定が下されると、自動調査によって 1 つまたは複数の修復操作が発生する可能性があります。 修復操作の例としては、検疫へのファイルの送信、サービスの停止、スケジュールされたタスクの削除などがあります。 (修復アクションに関する記事を参照してください。)

組織で設定されている自動化のレベルとその他のセキュリティ設定によっては、修復アクションは自動的に実行されるか、またはセキュリティ運用チームによる承認時にのみ実行される可能性があります。 自動修復に影響する可能性のある他のセキュリティ設定には、望ましくない可能性のあるアプリケーション (PUA) からの保護が含まれます。

すべての修復アクションは、保留中であるか完了したかにかかわらず、アクション センター https://security.microsoft.com で表示できます。 必要に応じて、セキュリティ運用チームは修復アクションを元に戻すことができます。

調査と修復の自動化機能の自動化レベル

Microsoft Defender for Endpoint の調査と修復の自動化 (AIR) 機能は、いくつかの自動化レベルのいずれかに構成できます。 自動化レベルは、AIR 調査に続く修復アクションが自動的に行われるか、承認時にのみ実行されるかに影響します。

  • 完全自動化 (推奨) は、悪意があると判断された成果物に対して修復アクションが自動的に行われることを意味します。

  • 半自動化とは、一部の修復アクションは自動的に実行されますが、他の修復アクションは承認を待機してから実行されることを意味します。 (「自動化のレベル」の表を参照してください)。

  • すべての修復アクションは、保留中であるか完了したかにかかわらず、アクション センターで追跡できます

自動化のレベル

Full - remediate threats automatically (完全 - 脅威を自動的に修復する) (完全自動化とも呼ばれます)

完全自動化では、修復アクションは自動的に実行されます。 実行されるすべての修復アクションは、アクション センターの [履歴] タブに表示されます。必要に応じて、修復アクションを元に戻すことができます。

Semi - require approval for any remediation (半自動 - すべての修復の承認が必要) (半自動化とも呼ばれます)

このレベルの半自動化では、すべての修復アクションに対して承認が必要です。 このような保留中のアクションは、アクション センターの [保留中] タブで表示および承認できます。

Semi - require approval for core folders remediation (半自動 - コア フォルダーの修復については承認が必要) (これも半自動化の一種です)

このレベルの半自動化では、コア フォルダー内にあるファイルまたは実行可能ファイルに対して必要なすべての修復アクションについて、承認が必要になります。 コア フォルダーには、Windows (\windows*) などのオペレーティング システムのディレクトリが含まれます。

修復アクションは、他の (コアでない) フォルダー内にあるファイルまたは実行可能ファイルに対しては自動的に実行できます。

コア フォルダー内のファイルまたは実行可能ファイルに対する保留中のアクションは、アクション センターの [保留中] タブで表示および承認できます。

他のフォルダーのファイルまたは実行可能ファイルに対して実行されたアクションは、アクション センターの [履歴] タブで表示できます。

Semi - require approval for non-temp folders remediation (半自動 - 一時フォルダー以外の修復については承認が必要) (これも半自動化の一種です)

このレベルの半自動化では、一時フォルダー以外にあるファイルまたは実行可能ファイルに対して必要なすべての修復アクションについて、承認が必要になります。

一時フォルダーには、次の例を含めることができます。

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

修復アクションは、一時フォルダー内にあるファイルまたは実行可能ファイルに対しては自動的に実行できます。

一時フォルダーにないファイルまたは実行可能ファイルに対する保留中のアクションは、アクション センターの [保留中] タブで表示および承認できます。

一時フォルダーのファイルまたは実行可能ファイルに対して実行されたアクションは、アクション センターの [履歴] タブで表示できます。

No automated response (自動応答なし) (自動化なし とも呼ばれます)

自動化なしの場合、組織のデバイスに対して自動調査は実行されません。 その結果、自動調査の結果として、修復アクションは実行されず、保留もされません。 ただし、望ましくない可能性のあるアプリケーションからの保護など、その他の脅威保護機能は、ウイルス対策と次世代の保護機能の構成方法によっては、有効になることがあります。

組織のデバイスのセキュリティを低下させるため、自動化なしのオプションを使用することはお勧めできません。 自動化レベルを完全自動化 (または、少なくとも半自動化) に設定することを検討してください。

自動化レベルについての重要な点

完全自動化は、信頼性が高く効率的で、安全であることが実証されており、すべてのお客様にお勧めします。 完全自動化により、重要なセキュリティ リソースが解放され、戦略的な取り組みに専念できるようになります。 セキュリティ チームが、ある自動化レベルでデバイス グループを定義した場合、これらの設定は、ロールアウトされた新しい既定の設定によって変更されません。