調査してMicrosoft Defender XDRで対応する

  • [アーティクル]

Microsoft Defender XDRの主な調査と対応タスクを次に示します。

インシデント対応

Microsoft 365 サービスおよびアプリは、疑わしい、または悪意のあるイベントやアクティビティを検出した場合にアラートを作成します。 個々のアラートは、完了した攻撃、または進行中の攻撃に関する貴重な手がかりとなります。 ただし、攻撃は通常、デバイス、ユーザー、メールボックスなどの異なる種類のエンティティに対抗してさまざまな技術を採用しています。 その結果、テナント内の複数のエンティティに複数のアラートが表示されます。 個々のアラートを一緒にパイシングして攻撃の分析情報を得ることは困難で時間がかかる可能性があるため、アラートとその関連情報をインシデントに自動的に集計Microsoft Defender XDR。

継続的に、インシデント キュー内の分析と解決の優先順位が最も高いインシデントを特定し、対応の準備を整える必要があります。 これは、次を組み合わせたものです:

  • インシデント キューのフィルター処理と並べ替えによって、最も優先度の高いインシデントの決定に優先順位を付ける。 これはトリアージとも呼ばれます。
  • タイトルの変更、アナリストへの割り当て、タグとコメントの追加、解決時の分類によるインシデントの管理

インシデントごとに、インシデント対応ワークフローを使用して、インシデントとそのアラートとデータを分析して攻撃を含め、脅威を根絶し、攻撃から回復し、そこから学習します。 Microsoft Defender XDRについては、この例を参照してください。

調査と修復の自動化

organizationがMicrosoft Defender XDRを使用している場合、セキュリティ運用チームは、悪意のあるアクティビティまたは疑わしいアクティビティまたはアーティファクトが検出されるたびに、Microsoft Defender ポータル内でアラートを受け取ります。 絶え間ない脅威の流れが入ってくる可能性があるため、セキュリティ チームでは、大量のアラートへの対処という課題に直面することが多くなっています。 幸いなことに、Microsoft Defender XDRには、セキュリティ運用チームがより効率的かつ効果的に脅威に対処するのに役立つ自動調査と対応 (AIR) 機能が含まれています。

自動調査が完了すると、インシデントのそれぞれの証拠について判定が行われます。 判定に応じて、修復アクションが特定されます。 場合によっては、修復アクションが自動的に実行されます。その他の場合、修復アクションは、Microsoft Defender XDR アクション センターを通じて承認を待ちます。

詳細については、「Microsoft Defender XDRでの自動調査と対応」を参照してください。

高度なハンティングを使用した脅威のプロアクティブ検索

攻撃の発生時に対応するだけでは十分ではありません。 ランサムウェアなどの拡張された多相攻撃の場合は、進行中の攻撃の証拠を事前に検索し、完了する前に阻止するためのアクションを実行する必要があります。

高度なハンティングは、Microsoft Defender XDRのクエリベースの脅威ハンティング ツールであり、最大 30 日間の生データを探索できます。 ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを見つけることができます。 このMicrosoft Defender XDRデータへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方に対して制約のないハンティングが可能になります。

同じ脅威ハンティング クエリを使用して、カスタム検出ルールを構築できます。 これらのルールは自動的に実行され、侵害の疑いのあるアクティビティ、構成ミスのマシン、その他の結果に対してチェックし、応答します。

詳細については、「Microsoft Defender XDRで高度なハンティングを使用して脅威を事前に検出する」を参照してください。

脅威分析を使用して新たな脅威を先取りする

脅威分析は、Microsoft Defender XDRの脅威インテリジェンス機能であり、新たな脅威に直面しながら、セキュリティ チームを可能な限り効率的に支援するように設計されています。 詳細な分析と次の情報が含まれています。

  • アクティブな 脅威アクター とそのキャンペーン
  • 人気のある新しい攻撃手法
  • 重大な脆弱性
  • 一般的な攻撃対象領域
  • 流行しているマルウェア

脅威分析には、特定された脅威ごとに、Microsoft 365 テナント内の関連インシデントと影響を受けた資産に関する情報も含まれています。

特定された各脅威には、サイバーセキュリティの検出と分析の最前線にいる Microsoft セキュリティ研究者によって記述された脅威の包括的な分析であるアナリスト レポートが含まれています。 これらのレポートは、Microsoft Defender XDRでの攻撃の表示方法に関する情報を提供することもできます。

詳細については、「Microsoft Defender XDRの脅威分析」を参照してください。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします