Microsoft Defender for Endpoint プラン 1 の概要
適用対象:
Microsoft Defender ポータル (https://security.microsoft.com) を使用すると、検出された脅威に関する情報の表示、アラートとインシデントの管理、検出された脅威に対する必要なアクションの実行、デバイスの管理を行うことができます。 Microsoft Defender ポータルでは、Defender for Endpoint Plan 1 で取得する脅威保護機能の操作を開始できます。 次のセクションでは、作業を開始する方法について説明します。
Microsoft Defender ポータル
Microsoft Defender ポータル (https://security.microsoft.com) では、アラートの表示、デバイスの管理、レポートの表示を行うことができます。 Microsoft Defender ポータルにサインインすると、次の図のような [ホーム] ページから始めます。
[ホーム] ページには、アラート、デバイスの状態、検出された脅威のスナップショット集計ビューがセキュリティ チームに表示されます。 Microsoft Defender XDRは、セキュリティ運用チームが探している情報をすばやく簡単に見つけられるように設定されています。
注:
この記事に示す例は、Microsoft Defender ポータルに表示される例とは異なる場合があります。 ポータルに表示される内容は、ライセンスとアクセス許可によって異なります。 さらに、セキュリティ チームは、カードを追加、削除、再配置することで、organizationのポータルをカスタマイズできます。
カードは重要な情報を強調表示し、推奨事項を含めます
[ホーム] ページには、次の図に示カードアクティブ インシデントなどのカードが含まれています。
カードには、一目で情報が表示され、リンクまたはボタンが表示され、より詳細な情報を表示できます。 [アクティブ インシデント] カードの例を参照して、[すべてのインシデントの表示] を選択してインシデントの一覧に移動できます。
ナビゲーション バーを使用すると、アラートやアクション センターなどを簡単に見つけることができます
画面の左側にあるナビゲーション バーを使用すると、インシデント、アラート、アクション センター、レポート、設定間を簡単に移動できます。 次の表では、ナビゲーション バーについて説明します。
| ナビゲーション バー項目 | 説明 |
|---|---|
| ホーム | Microsoft Defender ポータルの [ホーム] ページに移動します。 |
| インシデント & アラート | [インシデント] と [アラート]を表示するように展開します。 |
| インシデント & アラート>事件 | [インシデント] の一覧に移動します。 インシデントは、アラートがトリガーされたとき、または脅威が検出されたときに作成されます。 既定では、[ インシデント ] リストには過去 30 日間のデータが表示され、最新のインシデントが最初に表示されます。 詳細については、「 インシデント」を参照してください。 |
| インシデント & アラート>アラート | [アラート] リスト ("アラート キュー" とも呼ばれます) に移動します。 疑わしいファイル、悪意のあるファイル、プロセス、または動作が検出されると、アラートがトリガーされます。 既定では、[ アラート ] リストには過去 30 日間のデータが表示され、最新のアラートが最初に表示されます。 詳細については、「 アラート」を参照してください。 |
| インシデント & アラート>Email &コラボレーション アラート | サブスクリプションにMicrosoft Defender for Office 365が含まれている場合、電子メールファイルと Office ファイルで潜在的な脅威が検出されたときにアラートが生成されます。 |
| 申請> & アクションアクション センター | 修復アクションと手動応答アクションを追跡するアクション センターに移動します。 アクション センターでは、次のようなアクティビティが追跡されます。 - Microsoft Defenderウイルス対策で悪意のあるファイルが検出され、そのファイルがブロックまたは削除されます。 - セキュリティ チームがデバイスを分離します。 - Defender for Endpoint は、ファイルを検出して検疫します。 詳細については、「 アクション センター」を参照してください。 |
| 申請> & アクション提出 | 管理者がレビューのためにファイルを Microsoft に送信できる統合申請ポータルに移動します。 詳細については、「Microsoft Defender for Endpointでファイルを送信する」を参照してください。 |
| セキュア スコア | 推奨されるアクションとメトリックの一覧と共に、organizationのセキュリティ体制の表現を表示します。 詳細については、「 Microsoft Secure Score」を参照してください。 |
| ラーニング ハブ | Microsoft 365 セキュリティ機能の詳細については、アクセスできるラーニング パスの一覧に移動します。 |
| 試験 | 開始できる無料の Microsoft 365 試用版サブスクリプションの一覧に移動します。 試用版を開始すると、購入やアップグレードに関する情報に基づいた意思決定を行うことができます。 一部の使用条件が適用されます。 「Microsoft 365 試用版の使用条件」を参照してください。 |
| パートナー カタログ | セキュリティやその他の設定に役立つ Microsoft パートナーをお探しの場合は、このカタログのパートナーの一覧をチェックします。 |
| 資産>デバイス | Defender for Endpoint にオンボードされているデバイスの一覧に移動します。 露出やリスク レベルなど、デバイスに関する情報を提供します。 詳細については、「 デバイス インベントリ」を参照してください。 |
| エンドポイント>構成管理>ダッシュ ボード | スコアの向上、機能の設定、デバイスのオンボード、機能の詳細を確認するためのリンクを含む、現在のセキュリティ状態を示すカード付きのダッシュボードに移動します。 |
| レポート | 脅威保護レポート、デバイスの正常性とコンプライアンス レポート、Web 保護レポートなどのレポートに移動します。 |
| 正常性 | サービス正常性とメッセージ センターへのリンクが含まれます。 |
| 健康>サービス正常性 | Microsoft 365 管理センターの [サービス正常性] ページに移動します。 このページでは、organizationのサブスクリプションで使用可能なすべてのサービスの正常性状態を表示できます。 |
| 健康>メッセージ センター | Microsoft 365 管理センターのメッセージ センターに移動します。 メッセージ センターは、計画された変更に関する情報を提供します。 各メッセージには、今後の内容、ユーザーに与える影響、変更の管理方法が記述されています。 |
| ロール & アクセス許可 | Microsoft Defender ポータルを使用するアクセス許可を付与できます。 アクセス許可は、Microsoft Entra IDのロールを通じて付与されます。 ロールを選択すると、ポップアップ ウィンドウが表示されます。 ポップアップには、ロール グループ内のメンバーを追加または削除できるMicrosoft Entra IDへのリンクが含まれています。 詳細については、「 ロールベースのアクセス制御を使用したポータル アクセスの管理」を参照してください。 |
| 設定 | Microsoft Defender ポータルの全般設定 (セキュリティ センターとして一覧表示) と Defender for Endpoint (エンドポイントとして一覧表示) に移動します。 詳細については、「 設定」を参照してください。 |
| その他のリソース | Microsoft Entra IDやMicrosoft Purview コンプライアンス ポータルなど、その他のポータルとセンターの一覧を表示します。 詳細については、「 Microsoft セキュリティ ポータルと管理センター」を参照してください。 |
ヒント
詳細については、Microsoft Defender ポータルの概要に関するページを参照してください。
インシデント & アラートの表示と管理
Microsoft Defender ポータルにサインインするときは、インシデントとアラートを表示して管理してください。 インシデント の一 覧から始めます。 次の図は、重大度が高いインシデントと重大度が中程度のインシデントの一覧を示しています。
インシデントを選択して、インシデントの詳細を表示します。 詳細には、トリガーされたアラート、影響を受けたデバイスとユーザーの数、その他の詳細が含まれます。 次の図は、インシデントの詳細の例を示しています。
[アラート]、[デバイス]、[ユーザー] タブを使用して、トリガーされたアラート、影響を受けたデバイス、影響を受けたユーザー アカウントなどの詳細情報を表示します。 そこから、デバイスの分離、ファイルの停止と検疫などの手動応答アクションを実行できます。
ヒント
インシデント ビューの使用の詳細については、「インシデントの管理」を参照してください。
デバイスを管理する
organizationのデバイスを表示および管理するには、ナビゲーション バーの [資産] で [デバイス] を選択します。 デバイスの一覧が表示されます。 一覧には、アラートが生成されたデバイスが含まれます。 既定では、表示されるデータは過去 30 日間で、最新の項目が最初に一覧表示されます。 デバイスを選択すると、デバイスの詳細が表示されます。 次の図に示すように、ポップアップ ウィンドウが開きます。
ポップアップ ウィンドウには、デバイスのアクティブなアラートなどの詳細が表示され、デバイスの分離などのアクションを実行するためのリンクが含まれています。
デバイスにアクティブなアラートがある場合は、ポップアップ ウィンドウで表示できます。 個々のアラートを選択して、詳細を表示します。 または、 デバイスの分離などのアクションを実行して、デバイスをさらに調査しながら、他のデバイスに感染するリスクを最小限に抑えることができます。
ヒント
詳細については、「 Defender for Endpoint デバイスの一覧でデバイスを調査する」を参照してください。
レポートの表示
Defender for Endpoint Plan 1 では、Microsoft Defender ポータルで複数のレポートを使用できます。 レポートにアクセスするには、次の手順に従います。
Microsoft Defender ポータル (https://security.microsoft.com) に移動し、サインインします。
ナビゲーション バーで、[レポート] を選択 します。
一覧からレポートを選択します。 レポートには以下のような情報が含まれます。
- 脅威に対する保護のレポート
- デバイス正常性レポート
- Web 保護レポート
ヒント
詳細については、「 脅威保護レポート」を参照してください。
脅威に対する保護のレポート
脅威保護レポートにアクセスするには、Microsoft Defender ポータルで [レポート] を選択し、[脅威の保護] を選択します。 Threat Protection レポートには、アラートの傾向、状態、カテゴリなどが表示されます。 ビューは、次の図に示すように、 アラートの傾向 と アラートの状態の 2 つの列に配置されます。
下にスクロールして、各リストのすべてのビューを表示します。
- 既定では、[ アラート傾向 ] 列のビューには過去 30 日間のデータが表示されますが、過去 3 か月間、過去 6 か月間、またはカスタム時間範囲 (最大 180 日間) のデータを表示するようにビューを設定できます。
- [アラートの状態] 列のビューは、前の営業日のスナップショットです。
ヒント
詳細については、「 Defender for Endpoint の脅威保護レポート」を参照してください。
デバイス正常性レポート
デバイス正常性レポートにアクセスするには、Microsoft Defender ポータルで [レポート] を選択し、[デバイスの正常性] を選択します。 [デバイスの正常性] レポートには、organization内のデバイス間の正常性状態とウイルス対策が表示されます。 脅威保護レポートと同様に、次の図に示すように、ビューはデバイスの傾向とデバイスの概要の 2 つの列に配置されます。
下にスクロールして、各リストのすべてのビューを表示します。 既定では、[ デバイス傾向 ] 列のビューには過去 30 日間のデータが表示されますが、過去 3 か月間、過去 6 か月間、またはカスタム時間範囲 (最大 180 日間) のデータを表示するようにビューを変更できます。 [デバイスの概要] ビューは、前の営業日のスナップショットです。
ヒント
詳細については、「デバイスの 正常性」を参照してください。
Web 保護レポート
デバイス正常性レポートにアクセスするには、Microsoft Defender ポータルで [レポート] を選択し、[Web 保護] を選択します。 Web 保護レポートには、次の図に示すように、悪意のある URL やブロックされた URL へのアクセスの試行など、時間の経過に伴う検出が表示されます。
下にスクロールして、Web 保護レポートのすべてのビューを表示します。 一部のビューには、詳細を表示したり、脅威保護機能を構成したり、Defender for Endpoint で例外として機能するインジケーターを管理したりできるリンクが含まれています。
ヒント
詳細については、「 Web 保護」を参照してください。
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示