Microsoft Defender XDR で自動調査と応答機能を構成する

  • [アーティクル]

Microsoft Defender XDR には、セキュリティ運用チームに多くの時間と労力を節約できる強力な 自動調査と対応機能 が含まれています。 自己修復機能を使用すると、これらの機能は、セキュリティ アナリストが脅威を調査して対応するために実行する手順を模倣し、より迅速かつより多くのスケーリング機能を備えています。

この記事では、次の手順で Microsoft Defender XDR で自動調査と応答を構成する方法について説明します。

  1. 前提条件を確認します
  2. デバイス グループの自動化レベルを確認または変更します
  3. Office 365 のセキュリティポリシーとアラート ポリシーを確認します

次に、すべての設定が完了したら、 アクション センターで修復アクションを表示および管理できます。 また、必要に応じて、 自動調査設定に変更を加えることができます。

Microsoft Defender XDR での自動調査と対応の前提条件

要件 詳細
サブスクリプションの要件 次のいずれかのサブスクリプション:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 と Microsoft 365 E5 セキュリティ アドオン
  • Microsoft 365 A3 と Microsoft 365 A5 セキュリティ アドオン
  • Office 365 E5 と Enterprise Mobility + Security E5 プラス Windows E5

「Microsoft Defender XDR ライセンス要件」を参照してください。
ネットワーク要件
Windows デバイスの要件
メール コンテンツと Office ファイルの保護
アクセス許可 自動調査と応答の機能を構成するには、Microsoft Entra ID (https://portal.azure.com) または Microsoft 365 管理センター (https://admin.microsoft.com) で、次のいずれかのロールが割り当てられている必要があります。
  • グローバル管理者
  • セキュリティ管理者
保留中のアクションを確認、承認、拒否するなど、自動調査と対応の機能を使用するには、「 アクション センター タスクに必要なアクセス許可」を参照してください。

注:

セキュリティを強化するために、アクセス許可が少ないロールを使用することをお勧めします。 多くのアクセス許可を持つグローバル管理者ロールは、他のロールが適合しない場合にのみ、緊急時にのみ使用する必要があります。

デバイス グループの自動化レベルを確認または変更する

自動調査が実行されているかどうか、および修復アクションが自動的に実行されるか、デバイスの承認時にのみ実行されるかは、組織のデバイス グループ ポリシーなどの特定の設定によって異なります。 デバイス グループ ポリシーの構成済みの自動化レベルを確認します。 次の手順を実行するには、グローバル管理者またはセキュリティ管理者である必要があります。

  1. https://security.microsoft.comで Microsoft Defender ポータルに移動し、サインインします。

  2. [アクセス許可] の [設定>Endpoints>Device グループに移動します。

  3. デバイス グループ ポリシーを確認します。 特に、[ 修復レベル ] 列を参照してください。 脅威を自動的に修復するフル - 修復を使用することをお勧めします。 必要な自動化のレベルを取得するには、デバイス グループを作成または編集する必要がある場合があります。 このタスクのヘルプについては、次の記事を参照してください。

Office 365 でセキュリティポリシーとアラート ポリシーを確認する

Microsoft には、特定のリスクを特定するのに役立つ組み込みの アラート ポリシー が用意されています。 これらのリスクには、Exchange 管理者のアクセス許可の乱用、マルウェア アクティビティ、潜在的な外部および内部の脅威、データ ライフサイクル管理リスクなどがあります。 一部のアラートでは、 Office 365 で自動調査と応答をトリガーできます。 Defender for Office 365 の機能が正しく構成されていることを確認します。

特定のアラートとセキュリティ ポリシーは自動調査をトリガーできますが、 電子メールとコンテンツに対して修復アクションは自動的に実行されません。 代わりに、電子メールと電子メール コンテンツに対するすべての修復アクションは、 アクション センターでセキュリティ運用チームによる承認を待っています。

Exchange Online Protection (EOP) と Defender for Office 365 のセキュリティ設定は、メールとコンテンツの保護に役立ちます。 Standard および Strict の事前設定されたセキュリティ ポリシーを 使用して、ユーザーに保護を割り当てることをお勧めします。

カスタム ポリシーを使用している場合は、 構成アナライザー を使用して、ポリシー設定を Standard および Strict の事前設定されたセキュリティ ポリシー設定と比較します。 すべてのポリシー設定の詳細については、「 EOP および Microsoft Defender for Office 365 セキュリティの推奨設定」の表を参照してください。

アラート ポリシーは、Defender ポータルの https://security.microsoft.com>Policies & ルール>Alert ポリシーで確認することも、https://security.microsoft.com/alertpoliciesv2で直接確認することもできます。 [ 脅威管理 ] カテゴリには、いくつかの既定のアラート ポリシーがあります。 脅威管理カテゴリのアラート ポリシーの一部では、自動調査と応答をトリガーできます。 詳細については、「 脅威管理アラート ポリシー」を参照してください。

自動調査設定を変更する必要がありますか?

自動調査および応答機能の設定を変更するには、いくつかのオプションから選択できます。 一部のオプションを次の表に示します。

目的 次の手順に従います
デバイスのグループのオートメーション レベルを指定する
  1. 1 つ以上のデバイス グループを設定します。 「 デバイス グループの作成と管理」を参照してください。
  2. Microsoft Defender ポータルで、[アクセス許可>Endpoints ロール & グループ>Device グループに移動します。
  3. デバイス グループを選択し、その Automation レベル の設定を確認します。 ( 完全 - 脅威を自動的に修復する) を使用することをお勧めします)。 自動調査と修復機能の自動化レベルに関するページを参照してください。
  4. すべてのデバイス グループに対して、必要に応じて手順 2 と 3 を繰り返します。

次の手順

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender XDR Tech Community) にご参加ください。