高度なハンティング クエリ結果に対してアクションを実行する

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

強力で包括的なアクション オプションを使用して、 高度なハンティング で見つけた脅威をすばやく含めたり、侵害された資産に対処したりできます。 これらのオプションを使用すると、次のことができます。

  • デバイスでさまざまなアクションを実行する
  • 検疫ファイル

必要なアクセス許可

高度なハンティングを通じてデバイスに対してアクションを実行するには、デバイスに対して 修復アクションを送信するためのアクセス許可を持つ Microsoft Defender for Endpoint のロールが必要です。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

アクションを実行できない場合は、次のアクセス許可の取得についてグローバル管理者に問い合わせてください。

脅威と脆弱性の管理 > アクティブな修復アクション - 修復処理

高度なハンティングを通じてメールに対してアクションを実行するには、Microsoft Defender for Office 365 で メールを検索および消去する役割が必要です。

デバイスでさまざまなアクションを実行する

クエリ結果の [ DeviceId ] 列で識別されるデバイスで、次のアクションを実行できます。

  • 影響を受けるデバイスを分離して感染を封じ込めるか、攻撃が横方向に動かないようにする
  • 調査パッケージを収集して、より多くのフォレンジック情報を取得する
  • ウイルス対策スキャンを実行し、最新のセキュリティ インテリジェンス更新プログラムを使用して脅威を検出して削除する
  • 自動調査を開始して、デバイスとその他の影響を受ける可能性のあるデバイスの脅威を確認して修復する
  • アプリの実行を Microsoft 署名の実行可能ファイルのみに制限し、マルウェアやその他の信頼されていない実行可能ファイルを介した後続の脅威アクティビティを防ぎます

これらの応答アクションが Microsoft Defender for Endpoint を介して実行される方法の詳細については、 デバイスでの応答アクションに関するページを参照してください

検疫ファイル

ファイルに検疫アクションをデプロイして、検出されたときに自動的に検疫されるようにすることができます。 このアクションを選択するときに、次の列のいずれかを選択して、検疫するクエリ結果内のファイルを識別できます。

  • SHA1: 最も高度なハンティング テーブルでは、この列は、記録されたアクションの影響を受けるファイルの SHA-1 を参照します。 たとえば、ファイルがコピーされた場合、この影響を受けるファイルはコピーされたファイルになります。
  • InitiatingProcessSHA1: 最も高度なハンティング テーブルでは、この列は、記録されたアクションの開始を担当するファイルを参照します。 たとえば、子プロセスが起動された場合、このイニシエーター ファイルは親プロセスの一部になります。
  • SHA256: この列は、 SHA1 列によって識別されるファイルと同じ SHA-256 です。
  • InitiatingProcessSHA256: この列は、 InitiatingProcessSHA1 列によって識別されるファイルと同じ SHA-256 です。

検疫アクションの実行方法とファイルの復元方法の詳細については、ファイル に対する応答アクションに関するページを参照してください

注:

ファイルを見つけて検疫するには、クエリ結果にデバイス識別子として DeviceId 値も含める必要があります。

説明されているアクションを実行するには、クエリ結果で 1 つ以上のレコードを選択し、[ アクションの実行] を選択します。 ウィザードを使用すると、好みのアクションを選択して送信するプロセスがガイドされます。

Microsoft Defender ポータルの [アクションの実行] オプションのスクリーンショット。

メールに対してさまざまなアクションを実行する

デバイスに焦点を当てた修復手順とは別に、クエリ結果から電子メールに対していくつかのアクションを実行することもできます。 アクションを実行するレコードを選択し、[アクションの 実行] を選択し、[ アクションの選択] で次から任意のレコードを選択します。

  • Move to mailbox folder - メール メッセージを [迷惑メール]、[受信トレイ]、または [削除済みアイテム] フォルダーに移動するには、このアクションを選択します

    Microsoft Defender ポータルで [アクションを実行する] オプションのスクリーンショット。

  • Delete email - 電子メール メッセージを削除済みアイテム フォルダーに移動する (論理的な削除) または完全に削除する (ハード削除) するには、このアクションを選択します。

    [論理的な削除] を選択すると、送信者が組織内にある場合、送信者の [送信済みアイテム] フォルダーからメッセージが自動的に論理的に削除されます。

    Microsoft Defender ポータルの [アクションの実行] オプションのスクリーンショット。

    送信者のコピーの自動論理的な削除は、UrlClickEventsテーブルではなく、EmailEventsテーブルとEmailPostDeliveryEventsテーブルを使用して結果に使用できます。 さらに、アクションの実行ウィザードに表示するには、このアクション オプションの列 EmailDirection 列と SenderFromAddress 列が結果に含まれている必要があります。 送信者のコピークリーンアップは、組織内のメールと送信メールに適用され、送信者のコピーのみがこれらのメール メッセージに対して論理的に削除されるようにします。 受信メッセージは範囲外です。

    参照として次のクエリを参照してください。

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

修復名と、アクション センターの履歴で簡単に追跡するために実行されたアクションの簡単な説明を指定することもできます。 承認 ID を使用して、アクション センターでこれらのアクションをフィルター処理することもできます。 この ID は、ウィザードの最後に提供されます。

エンティティのアクションの選択を示すアクションの実行ウィザード

これらの電子メール アクションは、 カスタム検出 にも適用されます。

実行されたアクションを確認する

各アクションは、アクション センター>History (security.microsoft.com/action-center/history) の下のアクション センターに個別に記録されます。 アクション センターに移動して、各アクションの状態を確認します。

注:

この記事の一部のテーブルは、Microsoft Defender for Endpoint では使用できない場合があります。 Microsoft Defender XDR を有効に して、より多くのデータ ソースを使用して脅威を探します。 Microsoft Defender for Endpoint から Microsoft Defender XDR に高度なハンティング ワークフローを移動するには、「 Microsoft Defender for Endpoint から高度なハンティング クエリを移行する」の手順に従います。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。