Microsoft Defender for Endpoint セキュリティ操作ガイド

  • [アーティクル]

適用対象:

この記事では、organizationでMicrosoft Defender for Endpointを正常に運用するための要件とタスクの概要について説明します。 これらのタスクは、セキュリティ オペレーション センター (SOC) が検出されたセキュリティ脅威Microsoft Defender for Endpoint効果的に検出して対応するのに役立ちます。

この記事では、セキュリティ チームがorganizationに対して実行できる、毎日、毎週、毎月、アドホックなタスクについても説明します。

注:

これらは推奨される手順です。目的に合っていることを確認するために、独自のポリシーと環境に対してそれらをチェックします。

前提条件:

Microsoft Defender エンドポイントは、通常のセキュリティ操作プロセスをサポートするように設定する必要があります。 このドキュメントでは取り上げませんが、次の記事では構成とセットアップに関する情報を提供します。

毎日のアクティビティ

全般

セキュリティ運用チーム

  • Microsoft Defender XDR インシデント キューを監視する

    Microsoft Defender for Endpointが侵害のインジケーター (IOC) または攻撃のインジケーター (IOA) を識別し、アラートを生成すると、アラートはインシデントに含まれ、Microsoft Defender ポータル (https://security.microsoft.com) の [インシデント] キューに表示されます。

    これらのインシデントを確認して、Microsoft Defender for Endpointアラートに対応し、インシデントが修復されたら解決します。 「電子メールによるインシデント通知」「Microsoft Defender for Endpoint インシデント キューの表示と整理」を参照してください。

  • 誤検知と誤検知の検出を管理する

    インシデント キューを確認し、誤検知と偽陰性の検出を特定し、レビューのために送信します。 これにより、環境内のアラートを効果的に管理し、アラートの効率を高めるのに役立ちます。 「Microsoft Defender for Endpointでの誤検知/負のアドレス指定」を参照してください。

  • 脅威分析の影響が大きい脅威を確認する

    脅威分析を確認して、環境に影響を与えているキャンペーンを特定します。 「影響の大きい脅威」の表に、organizationに最も影響を与えた脅威の一覧を示します。 このセクションでは、アクティブなアラートを持つデバイスの数によって脅威をランク付けします。 脅威 分析を使用した新たな脅威の追跡と対応に関するページを参照してください。

セキュリティ管理チーム

  • 正常性レポートを確認する

    正常性レポートを確認して、対処する必要があるデバイスの正常性の傾向を特定します。 デバイス正常性レポートは、AV 署名、プラットフォームの正常性、EDR 正常性Microsoft Defender for Endpointカバーします。 「Microsoft Defender for Endpointのデバイス正常性レポート」を参照してください。

  • エンドポイントの検出と応答 (EDR) センサーの正常性を確認する

    EDR 正常性は、EDR サービスへの接続を維持して、Defender for Endpoint が脆弱性を警告して特定するために必要なシグナルを受信していることを確認します。

    異常なデバイスを確認します。 デバイスの正常性、センサーの正常性 & OS レポートに関するページを参照してください。

  • ウイルス対策の正常性Microsoft Defender確認する

    Microsoft Defenderウイルス対策更新プログラムの状態を表示することは、環境内の Defender for Endpoint のパフォーマンスと最新の検出に不可欠です。 [デバイスの正常性] ページには、プラットフォーム、インテリジェンス、エンジンのバージョンの現在の状態が表示されます。 [デバイスの正常性]、[ウイルス対策の正常性] レポートMicrosoft Defender参照してください。

毎週のアクティビティ

全般

  • Message Center

    Microsoft Defender XDRは、Microsoft 365 メッセージ センターを使用して、新機能や変更された機能、計画メンテナンス、その他の重要なお知らせなど、今後の変更を通知します。

    メッセージ センターのメッセージを確認して、環境に影響を与える今後の変更について理解します。

    これは、Microsoft 365 管理センターの [正常性] タブでアクセスできます。「Microsoft 365 サービスの正常性をチェックする方法」を参照してください。

セキュリティ運用チーム

セキュリティ管理チーム

  • 脅威と脆弱性 (TVM) の状態を確認する

    TVM を確認して、アクションを必要とする新しい脆弱性と推奨事項を特定します。 「脆弱性管理ダッシュボード」を参照してください。

  • 攻撃面の縮小レポートを確認する

    ASR レポートを確認して、環境に影響を与えるファイルを特定します。 「攻撃面の縮小ルール レポート」を参照してください。

  • Web 保護イベントを確認する

    Web 防御レポートを確認して、ブロックされている IP アドレスまたは URL を特定します。 「Web 保護」を参照してください。

毎月のアクティビティ

全般

最近リリースされた更新プログラムを理解するには、次の記事を参照してください。

セキュリティ管理チーム

定期的

これらのタスクは、セキュリティ体制のメンテナンスと見なされ、継続的な保護に不可欠です。 ただし、時間と労力がかかる場合があるため、これらのタスクを実行するために維持できる標準スケジュールを設定することをお勧めします。

  • 除外を確認する

    環境内で設定されている除外を確認して、除外する必要がなくなったものを除外することで保護ギャップが作成されていないことを確認します。

  • Defender ポリシーの構成を確認する

    Defender 構成設定を定期的に確認して、必要に応じて設定されていることを確認します。

  • 自動化レベルを確認する

    自動調査と修復機能の自動化レベルを確認します。 自動調査と修復の自動化レベルに関するページを参照してください。

  • カスタム検出を確認する

    作成されたカスタム検出がまだ有効で有効であるかどうかを定期的に確認します。 「 カスタム検出を確認する」を参照してください。

  • アラートの抑制を確認する

    作成されたアラート抑制ルールを定期的に確認して、引き続き必要で有効であることを確認します。 「 アラートの抑制を確認する」を参照してください。

トラブルシューティング

次の記事では、Microsoft Defender for Endpoint サービスを設定するときに発生する可能性があるエラーのトラブルシューティングと修正に関するガイダンスを提供します。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。