アクション センターを使用する

  • 14 分

アクション センター

Microsoft Defender ポータルの統合アクション センターには、デバイス、メールとコラボレーション コンテンツ、ID に対する保留中および完了済みの修復アクションが 1 か所に一覧表示されます。

統合アクション センターには、Defender for Endpoint と Defender for Office 365 全体の修復アクションがまとめられています。 すべての修復アクションに共通の言語が定義されており、統一された調査エクスペリエンスが提供されています。 セキュリティ運用チームは、"1 画面" のエクスペリエンスで修復アクションを表示および管理できます。

アクション センターは、保留中と履歴の項目で構成されています。

  • [保留中] には、注意が必要な進行中の調査の一覧が表示されます。 セキュリティ運用チームが承認または拒否できる、推奨される操作が表示されます。 [保留中] タブは、承認 (または拒否) される保留中のアクションがある場合にのみ表示されます。

  • [履歴] は、次のすべての項目の監査ログとして機能します。

    • 自動調査の結果として実行された修復アクション

    • セキュリティ運用チームによって承認された修復アクション (検疫へのファイルの送信など、一部のアクションは元に戻すことができます)

    • 実行されたコマンドと、ライブ応答セッションで適用された修復アクション (一部のアクションは元に戻すことができます)

    • Microsoft Defender ウイルス対策によって適用された修復アクション (一部のアクションは元に戻すことができます)

[自動調査]、[アクション センター] の順に選択します。

Screenshot of the Microsoft Defender XDR Action center.

自動調査が実行されると、調査対象のそれぞれの証拠に対して判定が生成されます。 判定は、以下の項目に基づき、[悪意のある]、[疑わしい]、[脅威は見つかりませんでした] である場合があります。

  • 脅威の種類

  • 結果の判定

  • 組織のデバイス グループがどのように構成されているか

修復アクションは、自動的に発生するか、組織のセキュリティ運用チームによって承認されたときにのみ発生します。

保留中のアクションを確認する

保留中のアクションを承認または拒否するには、次のようにします。

  • [保留中] タブで任意の項目を選択します。

  • 任意のカテゴリから調査を選択してパネルを開き、このパネルで修復アクションを承認または拒否できます。

ファイルまたはサービスの詳細、調査の詳細、アラートの詳細などのその他の詳細情報が表示されます。 パネルから [Open investigation page](調査ページを開く) リンクを選択すると、調査の詳細が表示されます。 複数の調査を選択して、複数の調査でアクションを承認または拒否することもできます。

完了したアクションを確認する

完了したアクションを確認するには:

  • [履歴] タブを選択します。(必要に応じて、期間を展開してさらに多くのデータを表示します。)

  • 項目を選択すると、その修復アクションの詳細が表示されます。

完了したアクションを元に戻す

デバイスまたはファイルが脅威でないと判断しました。 自動または手動で実行された修復アクションを元に戻すことができます。 次のすべてのアクションを元に戻すことができます。

  • source

    • 自動調査

    • Microsoft Defender ウイルス対策

    • 手動による応答アクション

  • サポートされているアクション

    • デバイスを分離する

    • コードの実行を制限する

    • ファイルを検疫する

    • レジストリ キーを削除する

    • サービスを停止する

    • ドライバーを無効にする

    • スケジュールされたタスクを削除する

複数のデバイスにわたって検疫からファイルを削除する

複数のデバイスにわたって検疫からファイルを削除するには:

  1. [履歴] タブで、[アクションの種類] が [検疫] のファイルを選択します。

  2. 画面の右側にあるペインで、[Apply to X more instances of this file](このファイルの他のインスタンスに適用する) を選択し、[元に戻す] を選択します。

アクション ソースの詳細の表示

アクション センターには、各アクションの発生元を示すアクション ソース列があります。 次の表では、使用可能な操作ソースの値について説明します。

操作ソースの値 説明
Manual device action (手動デバイス操作) デバイスに対して実行された手動操作。 たとえば、デバイスの分離やファイルの検疫などです。
Manual email action (手動電子メール操作) 電子メールに対して実行された手動操作。 たとえば、電子メール メッセージの論理的な削除や、電子メール メッセージの修復などです。
Automated device action (自動デバイス操作) ファイルやプロセスなど、エンティティに対して実行された自動操作。 自動操作の例としては、検疫へのファイル送信、プロセス停止、レジストリ キーの削除などがあります。
Automated email action (自動電子メール操作) 電子メールのメッセージ、添付ファイル、URL など、電子メール コンテンツに対して実行された自動操作。 自動操作の例としては、電子メール メッセージの論理的な削除、URL のブロック、外部メール転送の無効化などがあります。
Advanced hunting action (高度な捜索操作) 高度な捜索により、デバイスまたは電子メールに対して実行された操作。
Explorer action (エクスプローラー操作) エクスプローラーを使用して、電子メール コンテンツに対して実行された操作。
Manual live response action (手動ライブ応答操作) ライブ応答を使用して、デバイスに対して実行された操作。 たとえば、ファイルの削除、プロセスの停止、スケジュールされたタスクの削除などです。
Live response action (ライブ応答操作) Microsoft Defender for Endpoint API を使用して、デバイスに対して実行された操作。 操作の例としては、デバイスの分離、ウイルス対策スキャンの実行、ファイルに関する情報の取得などがあります。

提出

Exchange Online メールボックスを使う Microsoft 365 組織の場合、管理者は Microsoft Defender ポータルの送信ポータルを使って、メール メッセージ、URL、添付ファイルをスキャンのために Microsoft に送信することができます。

分析のためにメール メッセージを送信すると、次のようなメッセージが表示されます。

  • メール認証チェック: 配信時にメール認証が成功したか失敗したかについての詳細。
  • ポリシー ヒット: サービス フィルターの判定をオーバーライドして、お客様のテナントへの受信メールを許可またはブロックした可能性のあるポリシーに関する情報。
  • ペイロードの評価とデトネーション: メッセージに含まれる URL と添付ファイルの最新の調査。
  • 採点者分析: 悪意のあるメッセージであるかどうかを確認するために、人間の採点者が行うレビュー。

重要

ペイロードの評価とデトネーション、採点者分析は、すべてのテナントで実行されるわけではありません。 コンプライアンスの目的でテナントの境界からデータが出ることが想定されていない場合、情報が組織の外部に出ないようにブロックされます。

始める前に必要な知識

  • Microsoft にメッセージとファイルを送信するには、次のいずれかのロールが必要です。

    Microsoft Defender ポータルのセキュリティ管理者またはセキュリティ閲覧者。

  • 管理者は 30 日前のメッセージを送信できます (メールボックスでまだ使用可能で、ユーザーまたは他の管理者によって消去されていない場合)。

  • 管理者送信は、次の割合に抑えられます。

    任意の 15 分間の最大送信数:150 件の送信

    24 時間以内の同じ送信:3 件の送信

    15 分間の同じ送信:1 件の送信

疑わしいコンテンツを Microsoft に報告する

[送信] ページで、報告するコンテンツの種類に基づいて [メール]、[メールの添付ファイル]、または [URL] タブが選ばれていることを確認します。 次に、[分析のために Microsoft に送信する] アイコンを選びます。 分析のために Microsoft に送信します。

表示される [分析のために Microsoft に送信する] ポップアップを使って、それぞれのコンテンツ タイプ (メール、URL、またはメール添付) を送信します。

注意

ファイルと URL の送信は、データを環境から持ち出すことを許可しないクラウドでは使用できません。 ファイルまたは URL を選ぶ機能はグレー表示になります。

ポータル内からユーザーに通知する

[送信] ページで [ユーザーから報告されたメッセージ] タブを選び、マークして通知するメッセージを選びます。

[マークして通知] ドロップダウンを選択し、[脅威は見つかりませんでした] > [フィッシングまたは迷惑メール] を選びます。

報告されたメッセージは、擬陽性または擬陰性としてマークされます。 メッセージを報告したユーザーに、ポータル内から自動的にメール通知が送信されます。

疑わしいメールを Microsoft に送信する

  1. [送信の種類の選択] ボックスで、ドロップダウン リストから [メール] が選ばれていることを確認します。

  2. [ネットワーク メッセージ ID の追加] または [メール ファイルのアップロード] セクションで、次のいずれかのオプションを使います。

    • メールのネットワーク メッセージ ID の追加: ID は、メッセージの X-MS-Exchange-Organization-Network-Message-Id ヘッダー、または検疫済みメッセージの X-MS-Office365-Filtering-Correlation-Id ヘッダーで使用できる GUID 値です。

    • メール ファイル (.msg または .eml) のアップロード: [ファイルの参照] を選びます。 開いたダイアログで、.eml または .msg ファイルを見つけて選び、[開く] を選びます。

    [Choose a recipient who had an issue] (問題のある受信者の選択) ボックスで、ポリシー チェックを実行する受信者を指定します。 ポリシー チェックでは、ユーザーまたは組織のポリシーによってメールのスキャンが回避されたかどうかを判断します。

  3. [Microsoft に送信する理由の選択] セクションで、次のオプションのいずれかを選びます。

    • ブロックされるべきではなかった (擬陽性)
    • ブロックされるべきであった (擬陰性): 表示される [The email should have been categorized as] (メールは次に分類される必要があります) セクションで、次の値のいずれかを選びます (不明な場合は、最善の判断で選びます): フィッシング、マルウェア、またはスパム

  4. 終了したら、 [送信] を選択します。

疑わしい URL を Microsoft に送信する

  1. [送信の種類の選択] ボックスで、ドロップダウン リストから [URL] を選択します。

  2. 表示される [URL] ボックスに、完全な URL を入力します。 たとえば、「 https://www.fabrikam.com/marketing.html 」のように入力します。

  3. [Microsoft に送信する理由の選択] セクションで、次のオプションのいずれかを選びます。

    • ブロックされるべきではなかった (擬陽性)
    • ブロックされるべきであった (擬陰性): 表示される [This URL should have been categorized as] (URL は次に分類される必要があります) セクションで、次の値のいずれかを選びます (不明な場合は、最善の判断で選びます): フィッシング、マルウェア

  4. 終了したら、 [送信] を選択します。

疑わしいメールの添付ファイルを Microsoft に送信する

  1. [送信の種類の選択] ボックスで、ドロップダウン リストから [メールの添付ファイル] を選択します。

  2. 表示される [ファイル] セクションで、[ファイルの参照] を選びます。 開いたダイアログで、ファイルを見つけて選び、[開く] を選びます。

  3. [Microsoft に送信する理由の選択] セクションで、次のオプションのいずれかを選びます。

    • ブロックされるべきではなかった (擬陽性)
    • ブロックされるべきであった (擬陰性): 表示される [This file should have been categorized as] (ファイルは次に分類される必要があります) セクションで、次の値のいずれかを選びます (不明な場合は、最善の判断で選びます): フィッシング、マルウェア

  4. 終了したら、 [送信] を選択します。

注意

マルウェア フィルター処理によってメッセージの添付ファイルが Malware Alert Text.txt ファイルに置き換えられた場合、元の添付ファイルを含む検疫から元のメッセージを送信する必要があります。 検疫の詳細と、マルウェアの擬陽性があるメッセージを解放する方法については、管理者として検疫済みのメッセージとファイルを管理する、を参照してください。

Microsoft への管理者送信を表示する

[送信] ページで、[メール]、[URL]、[メールの添付ファイル] タブが選択されていることを確認します。

使用できる列のヘッダーをクリックすると、エントリを並べ替えることができます。 [列のカスタマイズ] を選択すると、最大 7 つの列が表示されます。 既定の値には、アスタリスク (*) が付いています。

  • 申請名*
  • 送信者*
  • Recipient
  • 送信日*
  • 送信の理由*
  • 状態*
  • 結果*
  • フィルター判定
  • 配信/ブロックの理由
  • 提出 ID
  • ネットワーク メッセージ ID/オブジェクト ID
  • Direction
  • メッセージ の送信者 IP の結果が決まります
  • 一括準拠レベル (BCL)
  • 到着地
  • ポリシー アクション
  • 送信元
  • フィッシング シミュレーション
  • タグ*
  • Allow

完了したら、[適用] を選びます。

管理者送信の結果詳細

管理者送信で送信されたメッセージが確認され、[送信の詳細] ポップアップに結果が表示されます。

  • 配信時に送信者のメール認証に失敗があった場合。
  • メッセージの判定に影響を与えたりオーバーライドしたりする可能性があるポリシー ヒットに関する情報。
  • メッセージに含まれる URL やファイルが悪意のあるものかどうかを確認するための現在のデトネーション結果。
  • 採点者からのフィードバック。

オーバーライドが見つかった場合は、数分で結果を使用できるようになります。 メール認証に問題がなかったり、オーバーライドしても配信に影響がない場合、採点者からのフィードバックに最大で 1 日かかる可能性があります。

Microsoft へのユーザー送信を表示する

レポート メッセージ アドイン、レポート フィッシング アドイン、またはユーザーが Outlook on the web の組み込みレポートを使っている場合は、[ユーザーから報告されたメッセージ] タブで報告しているユーザーを確認できます。

[送信] ページで、[ユーザーから報告されたメッセージ] タブを選びます。

使用できる列のヘッダーをクリックすると、エントリを並べ替えることができます。 [列のカスタマイズ] を選び、オプションを表示します。 既定の値には、アスタリスク (*) が付いています。

  • メールの件名*
  • 報告元*
  • 報告日*
  • 送信者*
  • 報告された理由*
  • 結果*
  • メッセージ報告 ID
  • ネットワーク メッセージ ID
  • メッセージ の送信者 IP の結果が決まります
  • 報告元
  • フィッシング シミュレーション
  • 管理者送信に置き換え
  • タグ*
  • マークされている*
  • マーク者
  • マークされた日付

完了したら、[適用] を選びます。

注意

組織がユーザー報告メッセージをカスタム メールボックスにのみ送信するように構成されている場合、報告されたメッセージはユーザー報告メッセージに表示されますが、その結果は常に空になります (再スキャンされないため)。

ユーザー送信を元に戻す

ユーザーがカスタム メールボックスに疑わしいメールを送信すると、ユーザーと管理者には送信を取り消すオプションはありません。 ユーザーがメールを復旧したい場合、削除済み項目または迷惑メール フォルダーで復旧できるようになります。

カスタム メールボックスからユーザーが報告したメッセージを管理者送信に変換する

Microsoft にメッセージを送信せずにユーザー報告メッセージを傍受するようにカスタム メールボックスを構成している場合、分析のために特定のメッセージを検索して Microsoft に送信することができます。

[ユーザーから報告されたメッセージ] タブで、一覧からメッセージを選択し、[分析のために Microsoft に送信する] を選び、ドロップダウン リストから次のいずれかの値を選択します。

  • クリーンの報告
  • フィッシングの報告
  • マルウェアの報告
  • スパムの報告
  • 調査のトリガー