レポートのMicrosoft Defender for Endpoint
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
この記事では、Microsoft Defender for Endpoint ユーザーが使用できるレポートの概要について説明します。 データの収集、結果の要約、および該当する場合の推奨アクションの取得に使用できるさまざまなレポートに関する情報が提供されます。
毎月のセキュリティの概要
毎月のセキュリティ概要レポートは、組織が過去 30 日間または 90 日間に完了したorganizationの全体的なセキュリティ体制を強化するために行われた主要な調査結果と全体的な予防措置の視覚的な概要を取得するのに役立ちます。 これは、強度と改善の領域を特定し、時間の経過に伴う進行状況を追跡し、リスクと影響に基づいてアクションの優先順位を付けるのに役立ちます。
このレポートにアクセスするには、[ レポート] > [エンドポイント] > [月次セキュリティの概要] に移動します。 毎月のセキュリティ概要レポートには、次のセクションが含まれています。
| Section | 説明 |
|---|---|
| Microsoft セキュア スコア | Microsoft Secure Score は、organizationのセキュリティ体制を測定し、organization内のデバイス全体にセキュリティのベスト プラクティスと推奨事項を実装した方法を示します。 セキュリティ スコア カードは、過去 1 か月間にorganizationの全体的なサイバーセキュリティの強度がどのように向上したか、および同様の数の管理対象デバイスを持つ他の企業と比較する方法を示しています。 |
| 他の組織と比較してスコアをセキュリティで保護する | このスコアは、同様のサイズの組織に関連するorganizationのセキュリティ スコアの評価です。 これは、同等の規模の他の組織と比較して、セキュリティ対策を実装する際のorganizationのパフォーマンスをベンチマークする方法です。 |
| オンボードされたデバイス | カードデバイスは、先月にオンボードされたデバイスの数と、まだオンボードされていないデバイスに関する情報を提供します。 オンボード デバイスは、保護と検出機能を有効にするために不可欠です。 |
| 特定の脅威に対する保護 | このカードは、フィッシングやランサムウェアなどの一般的な攻撃ベクトルに対する防御の効果を示します。 数値が大きいほど、フィッシングやランサムウェアに対する防御が強化されたことを示します。 レポートには、過去 1 か月間にブロックまたは軽減された脅威の数と、保護レベルがどのように向上したかが表示されます。 |
| Web コンテンツの監視とフィルター処理 | 過去 1 か月にMicrosoft Defender for Endpointによってブロックされた悪意のある URL の数を示します。 レポートには、ブロックされた URL のカテゴリと、各カテゴリのクリック数も表示されます。 |
| 疑わしいアクティビティまたは悪意のあるアクティビティ | インシデント カードを使用して、過去 1 か月間に解決されたインシデントとアラートの数を追跡します。 カードには、注意が必要なすべてのアクティブなインシデントとアラートも表示されます。 また、上位 10 件の重大インシデント、その状態、アラートの数、影響を受けるデバイスとユーザーの一覧を表示することもできます。 |
[PDF レポートの生成] を選択すると、概要の PDF レポートを生成できます。 生成されたレポートは、過去 30 日間の概要です。
脅威に対する保護のレポート
Defender for Endpoint の脅威保護情報でデータを収集するには、Microsoft Defender ポータルのアラート キューを使用するか、高度なハンティング クエリを作成します。 次のセクションでは、これらのツールを使用して必要な情報を見つける方法に関するガイダンスを提供します。
Microsoft Defender ポータルでアラート キュー フィルターを使用する
検出ソースとして Defender for Endpoint を使用して、Microsoft Defender ポータルのアラート ビューを使用して、保護されたデバイスのアラートの現在の状態を確認できます。 [状態] フィルターを使用して、新規、進行中、解決済みのアラートを表示します。 アラート キューの詳細については、こちらをご覧ください。
高度なハンティング クエリを使用する
高度なハンティング クエリを使用して、Defender for Endpoint の脅威保護情報を見つけることもできます。 詳細については、Defender XDRの高度なハンティングに関するページを参照してください。 次の高度なハンティング クエリの例では、アラートに関連する情報が表示されます。
重大度、検出ソース、カテゴリ別のアラート情報
// Severity
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Severity
| render columnchart
// Detection source
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by DetectionSource
| render columnchart
// Detection category
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Category
| render columnchart
重大度、検出ソース、カテゴリ別のアラートの傾向
// Severity
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Severity , bin(Timestamp, 1d)
| render timechart
// Detection source
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by DetectionSource , bin(Timestamp, 1d)
| render timechart
// Detection category
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Category , bin(Timestamp, 1d)
| render timechart
Defender for Endpoint 機能に関するレポート
次のレポートは、Defender for Endpoint 機能に関連するイベントとアクションに関する詳細な情報を提供します。
Power BI を使用してカスタム レポートを作成する
Power BI を使用してカスタマイズされたレポートを作成することもできます。 独自のレポートを作成するには、「 Power BI を使用してカスタム レポートを作成する」を参照してください。
集計レポート
集約されたレポートを有効にすることで、Defender for Endpoint によって収集されたすべてのシグナルを確認できます。
集計レポートを有効にするには、[ 設定] > [エンドポイント] > [高度な機能] に移動します。 集計レポート機能を切り替えます。 Defender for Endpoint での集計レポートの詳細については、こちらをご覧ください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。