Microsoft Defender for Businessでのインシデントの表示と管理
脅威が検出されアラートがトリガーされると、インシデントが作成されます。 会社のセキュリティ チームは、Microsoft Defender ポータルでインシデントを表示および管理できます。 この記事のタスクを実行するには、適切なアクセス許可が割り当てられている必要があります。 Microsoft Defender for Businessの「セキュリティ ロールとアクセス許可」を参照してください。
この記事には、次のものが含まれます。
インシデント & アラートを監視する
Microsoft Defender ポータル (https://security.microsoft.com) で、ナビゲーション ウィンドウで [インシデント] & アラートに移動し、[インシデント] を選択します。 作成されたすべてのインシデントがページに一覧表示されます。
重要
でタグ付けされたインシデントが表示される
Attack disruption場合は、高度な攻撃が検出されたことを意味します。 「自動攻撃の中断」を参照してください。アラートを選択してポップアップ ウィンドウを開き、アラートの詳細を確認できます。
ポップアップ ウィンドウでは、アラート タイトルを表示したり、影響を受けた資産 (デバイスやユーザー アカウントなど) の一覧を表示したり、使用可能なアクションを実行したり、リンクを使用して詳細情報を表示したり、選択したアラートの詳細ページを開いたりすることもできます。
ヒント
Defender for Business は、実行できるアクションを推奨することで、検出された脅威に対処できるように設計されています。 アラートを表示したら、これらの候補を探します。 また、検出された脅威の重大度に基づいてだけでなく、会社に対するリスクレベルに基づいて決定されるアラートの重大度にも注目してください。
アラートの重大度
脅威が検出されると、生成される各アラートに重大度レベルが割り当てられます。
- Microsoft Defenderウイルス対策では、検出された脅威の絶対重大度 (マルウェアなど) と潜在的なリスクに基づいてアラートの重大度が個々のデバイスに割り当てられます (感染した場合)。
- Defender for Business は、検出された動作の重大度、デバイスへの実際のリスク、さらに重要なことに、会社に潜在的なリスクに基づいてアラートの重大度を割り当てます。
次の表に、アラートとその重大度レベルの例をいくつか示します。
| シナリオ | アラートの重大度と理由 |
|---|---|
| 自動攻撃中断は 高度な攻撃を検出し、攻撃の進行を防ぐのに役立つデバイスまたはユーザー アカウントを含みます。 | 高 。 攻撃の中断機能は、IT/セキュリティ チームが攻撃に対処できるように攻撃を含めるのに役立ちます。 |
| Microsoft Defenderウイルス対策は、脅威を検出して停止してから損害を与えます。 | 情報。 脅威は、損害が発生する前に停止しました。 |
| Microsoft Defenderウイルス対策は、社内で実行されていたマルウェアを検出します。 マルウェアが停止し、修復されます。 | 低 。 個々のデバイスに何らかの損害が発生した可能性がありますが、マルウェアは現在、あなたの会社に脅威を与えるわけではありません。 |
| 実行中のマルウェアが Defender for Business によって検出されます。 マルウェアはほぼすぐにブロックされます。 | 中 または 高。 マルウェアは、個々のデバイスや会社に脅威を与えます。 |
| 疑わしい動作は検出されますが、修復アクションはまだ実行されません。 | 低、 中、または 高。 重大度は、行動が会社に脅威を与える度合いによって異なります。 |