自動調査および修復機能の自動化レベル

適用対象:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

Microsoft Defender for Businessの自動調査と修復 (AIR) 機能は事前構成されており、構成できません。 Microsoft Defender for Endpointでは、複数のレベルの自動化のいずれかに AIR を構成できます。 自動化レベルは、AIR 調査後の修復アクションが自動的に実行されるか、承認時にのみ実行されるかに影響します。

• 完全自動化 (推奨) とは、悪意があると判断された成果物に対して修復アクションが自動的に実行されることを意味します。 (Defender for Business では、フル オートメーションが既定で設定されています)。
• 半自動化 とは、一部の修復アクションが自動的に実行されることを意味しますが、他の修復アクションは、実行される前に承認を待っています。 ( 「自動化のレベル」の表を参照してください)。
• 保留中か完了かに関係なく、すべての修復アクションがアクション センター (https://security.microsoft.com) で追跡されます。

ヒント

最適な結果を得るには、 AIR を構成するときに完全自動化を使用することをお勧めします。 過去 1 年間に収集および分析されたデータは、完全自動化を使用しているお客様が、より低いレベルの自動化を使用している顧客よりも 40% 高い信頼性のマルウェア サンプルが削除されたことを示しています。 完全な自動化は、セキュリティ運用リソースを解放して、戦略的イニシアチブに集中するのに役立ちます。

注:

デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

自動化のレベル

オートメーション レベル	説明
[完全 - 自動的な脅威の修正] ( 完全自動化とも呼ばれます)	完全な自動化では、悪意があると見なされるエンティティに対して修復アクションが自動的に実行されます。 実行されたすべての修復アクションは、[履歴] タブのアクション センターで表示できます。必要に応じて、修復アクションを元に戻すことができます。 完全な自動化が推奨 され、2020 年 8 月 16 日以降に作成された Defender for Endpoint を持つテナントで、デバイス グループがまだ定義されていません。 Defender for Business では、フル オートメーションが既定で設定されています。
Semi - すべてのフォルダーの承認が必要 ( 半自動化とも呼ばれます)	このレベルの半自動化では、すべてのファイルに対する修復アクションの承認が必要です。 このような保留中のアクションは、 アクション センターの [ 保留中 ] タブで表示および承認できます。保留中のアクションは、7 日後にタイムアウトします。 アクションがタイムアウトした場合、動作はアクションが拒否された場合と同じです。 このレベルの半自動化は、2020 年 8 月 16 日より前にMicrosoft Defender for Endpointで作成されたテナントに対して既定で選択され、デバイス グループは定義されていません。
[準 - コア フォルダーの修復に承認が必要] ( 半自動化の一種でもあります)	このレベルの半自動化では、コア フォルダー内のファイルまたは実行可能ファイルに必要な修復アクションに対して承認が必要です。 コア フォルダーには、 Windows (\windows\*) などのオペレーティング システム ディレクトリが含まれます。 修復アクションは、他の (コア以外の) フォルダーにあるファイルまたは実行可能ファイルに対して自動的に実行できます。 コア フォルダー内のファイルまたは実行可能ファイルに対する保留中のアクションは、 アクション センターの [ 保留中 ] タブで表示および承認できます。 他のフォルダー内のファイルまたは実行可能ファイルに対して実行されたアクションは、 アクション センターの [ 履歴 ] タブで表示できます。
[準 - 一時フォルダー以外の修復に承認が必要] ( 半自動化の一種でもあります)	このレベルの半自動化では、一時フォルダー内の*ではないファイルまたは実行可能ファイルに対して必要な修復アクションに対して承認が必要です。 一時フォルダーには、次の例を含めることができます。 \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* 修復アクションは、一時フォルダー内のファイルまたは実行可能ファイルに対して自動的に実行できます。 一時フォルダーにないファイルまたは実行可能ファイルに対する保留中のアクションは、 アクション センターの [ 保留中 ] タブで表示および承認できます。 一時フォルダー内のファイルまたは実行可能ファイルに対して実行されたアクションは、 アクション センターの [ 履歴 ] タブで表示および承認できます。
自動応答なし ( オートメーションなしとも呼ばれます)	自動化がないと、自動調査はorganizationのデバイスでは実行されません。 その結果、自動調査の結果、修復アクションは実行または保留されません。 ただし、ウイルス対策機能と次世代保護機能の構成方法によっては、 望ましくない可能性のあるアプリケーションからの保護など、他の脅威保護機能が有効になる可能性があります。 * no automation オプションを使用することは推奨されません。これは、organizationのデバイスのセキュリティ体制が低下するためです。 オートメーション レベルを完全自動化 (または少なくとも半自動化) に設定することを検討してください。

オートメーション レベルに関する重要なポイント

• 完全な自動化は信頼性が高く、効率的で安全であることが証明されており、すべての顧客に推奨されています。 完全な自動化により、重要なセキュリティ リソースが解放され、戦略的イニシアチブに集中できるようになります。

• Defender for Endpoint を使用して新しいテナント (2020 年 8 月 16 日以降に作成されたテナントを含む) は、既定で完全自動化に設定されます。

• Defender for Business では、既定で完全な自動化が使用されます。 Defender for Business では、Defender for Endpoint と同じ方法でデバイス グループが使用されません。 したがって、完全な自動化がオンになり、Defender for Business のすべてのデバイスに適用されます。

• セキュリティ チームが自動化レベルでデバイス グループを定義している場合、それらの設定は、ロールアウトされる新しい既定の設定によって変更されません。

• 既定の自動化設定をそのまま使用することも、組織のニーズに応じて変更することもできます。 設定を変更するには、 自動化のレベルを設定します。

注:

Defender for Business は 、自動調査のリアルタイム保護に依存します。 自動調査を有効にするには、リアルタイム保護を有効にし、アクティブ モードにする必要があります。

次の手順

• Defender for Endpoint で自動調査と修復機能を構成する
• アクション センターにアクセスする

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。