管理対象検出と管理対象応答

[アーティクル]
06/20/2024

適用対象:

Microsoft Defender XDR

マネージド検出と応答の手順については、この短いビデオを参照してください。

自動化と人間の専門知識を組み合わせることで、Microsoft Defender Experts for XDR は Microsoft Defender XDR インシデントをトリアージし、ユーザーに代わって優先順位を付け、ノイズを除外し、詳細な調査を行い、セキュリティオペレーションセンター (SOC) チームに実用的なマネージド対応を提供します。

インシデントの更新

エキスパートがインシデントの調査を開始すると、インシデントの [割り当て先 ] フィールドと [状態] フィールドがそれぞれ Defender Experts と [進行中] に更新されます。

エキスパートがインシデントに関する調査を終了すると、専門家の調査結果に応じて、インシデントの分類フィールドが次のいずれかに更新されます。

真陽性
誤検知
情報、予想されるアクティビティ

各分類に対応する [決定 ] フィールドも更新され、エキスパートが上記の分類を決定するきっかけとなった結果に関するより多くの分析情報が提供されます。

インシデントが False Positive または Informational、 Expected Activity として分類されている場合、インシデントの [状態] フィールドが [解決済み] に更新されます。その後、エキスパートはこのインシデントに関する作業を終了し、[ 割り当て先 ] フィールドが [未割り当て] に更新されます。当社の専門家は、インシデントを解決するときに、調査の最新情報と結論を共有する場合があります。これらの更新は、インシデントの [マネージド応答] ポップアップパネルの [調査の概要] に投稿されます。

それ以外の場合、インシデントが True Positive として分類された場合、エキスパートは、実行する必要がある必要がある対応アクションを特定します。アクションを実行する方法は、Defender Experts for XDR サービスに付与したアクセス許可とアクセスレベルによって異なります。エキスパートにアクセス許可を付与する方法について詳しくは、こちらをご覧ください。

XDR の Defender Experts に推奨されるセキュリティオペレーターアクセス許可を付与している場合、エキスパートはインシデントに対して必要な応答アクションをユーザーに代わって実行できます。これらのアクションは、 調査の概要と共に、Microsoft Defender ポータルのインシデントの [マネージド応答 ] ポップアップパネルに表示され、ユーザーまたは SOC チームが確認できます。 Defender Experts for XDR によって完了したすべてのアクションは、[ 完了したアクション ] セクションに表示されます。自分または SOC チームが完了する必要がある保留中のアクションは、[ 保留中のアクション ] セクションの下に一覧表示されます。詳細については、「アクション」セクションを参照してください。エキスパートがインシデントに対して必要なすべてのアクションを実行すると、その [状態] フィールドが [解決済 み] に更新され、[ 割り当て先 ] フィールドが [顧客] に更新されます。
XDR の Defender Experts に既定のセキュリティ閲覧者アクセス権を付与した場合は、必要な応答アクションと調査の概要が、Microsoft Defender ポータルの [保留中のアクション] セクションの下にあるインシデントの [マネージド応答] ポップアップパネルに表示され、ユーザーまたは SOC チームが実行できます。詳細については、「アクション」セクションを参照してください。この引き渡しを識別するために、インシデントの [状態] フィールドが [顧客アクションの待機 中] に更新 され、[割り当て先 ] フィールドが [顧客] に更新されます。

操作が必要なインシデントの数は、Microsoft Defender ホームページの上部にある Defender エキスパートバナーで確認できます。

複数のフィルターセットを使用して Microsoft Defender ポータルでインシデントキューをフィルター処理することで、Defender Experts に関連するインシデントを表示できます。インシデントキューフィルターの追加の詳細

エキスパートが現在調査しているインシデントを表示するには、[ インシデントの割り当て ] フィルターを使用して、[ Defender エキスパートに割り当て] を選択します。
エキスパートが調査し、チームに引き渡して保留中の修復アクションに対処したインシデントを表示するには、[ インシデントの割り当て ] フィルターを使用して、[ 顧客チームに割り当て] を選択します。
エキスパートが調査し、チームに引き渡して保留中の修復アクションに対処したインシデントを表示するには、[ 状態] フィルターを使用して、[ 顧客アクションの待機] を選択します。
[タグ] フィルターを使用して、エキスパートが調査を完了した (およびチームに直接解決または割り当てられた) インシデントを表示するには、[タグ] フィルターを使用して[Defender Experts]\(Defender エキスパート\) を選択します。

Microsoft Defender XDR でマネージド応答を使用する方法

Microsoft Defender ポータルで、マネージド応答を使用して注意を払う必要があるインシデントには、[ 状態] フィールドが [ 顧客アクションの待機中] に設定 され、[割り当て先 ] フィールドが [顧客 ] に設定され、[ インシデント ] ウィンドウの上部にタスクカードが設定されています。指定されたインシデント連絡先には、対応する電子メール通知も受信され、Defender ポータルへのリンクが表示され、インシデントが表示されます。通知連絡先の詳細については、こちらをご覧ください。また、更新プログラムについて通知する Teams 通知も届きます。 Teams の設定の詳細

タスクカードまたはポータルページの上部 ([マネージド応答] タブ) の [管理された応答の表示] を選択して、専門家の調査の概要を読み取ったり、エキスパートによって特定された保留中のアクションを完了したり、チャットを通じて操作したりできるポップアップパネルを開きます。

調査の概要

[ 調査の概要 ] セクションでは、エキスパートによって分析されたインシデントに関するより多くのコンテキストが提供され、直ちに対処されていない場合に、その重大度と潜在的な影響についての可視性が提供されます。これには、デバイスのタイムライン、攻撃のインジケーター、観察された侵害 (IOC) のインジケーター、その他の詳細が含まれる場合があります。

アクション

[ アクション] タブには、エキスパートが推奨する応答アクションを含むタスクカードが表示されます。

現在、Defender Experts for XDR では、次のワンクリックマネージド応答アクションがサポートされています。

操作	説明
デバイスの分離	デバイスを分離します。これは、攻撃者がデバイスを制御し、データ流出や横移動などの追加のアクティビティを実行するのを防ぐのに役立ちます。分離されたデバイスは引き続き Microsoft Defender for Endpoint に接続されます。
ファイルの検疫	プロセスの実行を停止し、ファイルを検疫し、レジストリキーなどの永続的なデータを削除します。
アプリの実行を制限する	悪意のある可能性のあるプログラムの実行を制限し、デバイスをロックして、それ以上の試行を防ぎます。
分離からの解放	デバイスの分離を元に戻します。
アプリの制限を削除する	分離からの解放を元に戻します。

これらのワンクリックアクションとは別に、手動で実行する必要がある専門家からマネージド応答を受け取ることもできます。

注:

推奨されるマネージド応答アクションを実行する前に、自動調査と応答の構成によってまだ対処されていないことを確認してください。 Microsoft Defender XDR の自動調査と対応機能の詳細について説明します。

マネージド応答アクションを表示して実行するには、次の手順を実行します。

アクションカードの矢印ボタンを選択して展開し、必要なアクションの詳細を確認します。
ワンクリック応答アクションを含むカードの場合は、必要なアクションを選択します。カードの [アクションの状態 ] は、アクションの結果に応じて [進行中] に変わり、[ 失敗] または [完了] に変わります。

ヒント

また、アクションセンターでポータル内の応答アクションの状態を監視することもできます。応答アクションが失敗した場合は、[ デバイスの詳細の表示 ] ページからやり直すか、Defender Experts とのチャットを開始します。

手動で実行する必要がある必要があるアクションを含むカードの場合 は、[この操作を実行したら完了 しました] を選択し、表示される確認ダイアログボックスで [ はい、完了 しました] を選択します。
必要なアクションをすぐに完了しない場合は、[ スキップ] を選択し、表示される確認ダイアログボックスで [ はい、このアクションをスキップ する] を選択します。

重要

アクションカードのボタンのいずれかが淡色表示されている場合は、アクションを実行するために必要なアクセス許可がないことを示している可能性があります。適切なアクセス許可を持つ Microsoft Defender XDR ポータルにサインインしていることを確認します。ほとんどのマネージド応答アクションでは、少なくとも Security Operator アクセス権が必要です。適切なアクセス許可でもこの問題が引き続き発生する場合は、[ デバイスの詳細の表示] に移動し、そこから手順を完了します。

SIEM または ITSM アプリケーションで Defender Experts の調査を可視化する

XDR の Defender Experts がインシデントを調査し、修復アクションを考え出すにつれて、セキュリティ情報とイベント管理 (SIEM) アプリケーションと IT サービス管理 (ITSM) アプリケーション (すぐに利用できるアプリケーションなど) のインシデントに対する作業を可視化できます。

Microsoft Sentinel

Microsoft Sentinel でインシデントの可視性を得るには、すぐに使用できる Microsoft Defender XDR データコネクタをオンにします。詳細情報を参照してください。

コネクタをオンにすると、Microsoft Defender XDR の [状態]、[ 割り当て先]、[ 分類]、[ 決定 ] フィールドに対する Defender エキスパートによる更新が、Sentinel の対応する [状態]、[ 所有者]、および [理由 ] フィールドに表示されます。

注:

Microsoft Defender XDR で Defender Experts によって調査されたインシデントの状態は、通常、アクティブから進行中に移行し、Sentinel では [新規] から [アクティブ] から [解決済み] のパスに従います。 Microsoft Defender XDR Status Awaiting Customer Action には、Sentinel に同等のフィールドがありません。代わりに、Sentinel のインシデントでタグとして表示されます。

次のセクションでは、調査の過程を進めるにつれて、Sentinel でエキスパートによって処理されたインシデントがどのように更新されるかについて説明します。

エキスパートによって調査されているインシデントには 、[状態] が [アクティブ] と表示され、[ 所有者 ] が Defender Experts として表示されます。
エキスパートが True Positive として確認したインシデントには、Microsoft Defender XDR にマネージド応答が投稿され、顧客アクションを待機している タグと 所有者 が顧客として表示されます。 Defender ポータルで指定されたマネージド応答を使用してインシデントに対処する必要があります。
エキスパートが True Positive として確認したインシデントで、Defender Experts によって実行されたすべての修復アクションにより、インシデントの状態が [解決済 み] に更新され、 所有者 が [顧客] として表示されます。 Defender ポータルで指定されたマネージド応答を使用して、インシデントに対して完了したアクションを確認できます。
エキスパートが調査を終了し、インシデントを False Positive または Informational、 Expected Activity として閉じた後、インシデントの状態が解決済みに更新され、 所有者 は 未割り当てに更新され、 終了の理由 が提供されます。

その他のアプリケーション

Sentinel の Microsoft Defender XDR API またはコネクタを使用して、SIEM または ITSM アプリケーションのインシデントを可視化できます。

コネクタを構成すると、フィールドマッピングの実装方法に応じて、Defender エキスパートによるインシデントの状態、 割り当て先、分類、 および決定 フィールドに対する更新を、サードパーティの SIEM または ITSM アプリケーションと同期できます。説明するために、 Sentinel から ServiceNow へのコネクタを確認できます。

次の方法で共有