Microsoft Defender XDR(プレビュー) における Defender for Identity レポートのダウンロードとスケジュール
Microsoft Defender XDR には Defender for Identity レポートが用意されています。このレポートは、オンデマンドで生成することも、電子メールで定期的に送信するように構成することもできます。
Microsoft Defender XDR で Defender for Identity レポートにアクセスする
Microsoft Defender XDR の Defender for Identity レポートにアクセスするには、左側のナビゲーション メニューから [レポート] > [ID] > [レポートの管理] の順に選択します。
使用可能なレポートは次のとおりです。
レポート名 | 説明 |
---|---|
まとめ | 次のようなシステム ステータスのダッシュボードが表示されます。 - 概要: 検出されたネットワーク アクティビティの概要 - 正常性の問題を開く: 対処する必要がある Defender for Identity の正常性の問題を一覧表示します。 疑わしいアクティビティと正常性の問題は、種類別に一覧表示されます。 |
機密性の高いグループの変更 | 管理者などの機密性の高いグループ、または手動でタグ付けされたアカウントやグループに変更が加えられるたびに一覧表示されます。 Defender for Identity スタンドアロン センサーを使用している場合は、ドメイン コントローラーからスタンドアロン センサーにイベントが転送されていることを確認して機密性の高いグループに関する完全なレポートを受信するようにします。 |
クリアテキストで露出したパスワード | Defender for Identity によって検出されたすべてのソース コンピューターとアカウント のパスワードがクリアテキストで一覧表示されます。 注: 一部のサービスでは、LDAP のセキュリティで保護されていないプロトコルを使用して、プレーン テキストでアカウント資格情報を送信します。 これは、機密性の高いアカウントでも発生する可能性があります。 ネットワーク トラフィックを監視している攻撃者は、悪意のある目的でこれらの資格情報をキャッチして再利用できます。 |
機密性の高いアカウントへのラテラル ムーブメント パス | 選択したレポート期間のラテラル ムーブメント パスを介して公開される機密性の高いアカウントを一覧表示します。 詳細については、「ラテラル ムーブメント パス」を参照してください。 |
オンデマンドでレポートを生成する
オンデマンドでレポートを生成するには、以下の手順に従います。
Microsoft Defender XDR で、[レポート] > [ID] > [レポートの管理] の順に選択します。
ID レポートのページでレポートを選択し、[ダウンロード] を選択します。
右側に表示されるレポートのダウンロード ウィンドウで、レポートの期間を定義し、[レポートのダウンロード] を選択 します。
レポートはブラウザーによってダウンロードされ、レポートを開いたり保存したりできます。 ダウンロードされたレポートには、最大 100,000 行が含まれます。
メールでレポートをスケジュールする
E メールで送信するレポートのスケジュールを定義するには:
Microsoft Defender XDR で、[レポート] > [ID] > [レポートの管理] の順に選択します。
ID レポートのページでレポートを選択し、[レポートのスケジュール] を選択します。
ウィザードを使用して、次の詳細を定義します。
スケジュールの設定ページで、レポートを送信する条件とレポートを送信する時刻を定義します。
レポートは、Microsoft Defender XDR のタイム ゾーン設定 (ローカルまたは UTC) に従って送信されます。 詳細については、「Microsoft Defender XDR のタイム ゾーンを設定する」を参照してください。
受信者ページで、レポートを受信するすべてのユーザーのメール アドレスを入力して追加します。 [次へ] を選択してスケジュールを完了します。
完了ページに確認メッセージが表示されます。 [閉じる] を選択してウィザードを閉じます。
スケジュールが構成されたら、この手順を繰り返して、スケジュールされた時刻または受信者を編集します。
スケジュールされたすべてのレポートを削除する
スケジュールされたレポートを削除し、送信を停止するには:
Microsoft Defender XDR で、[レポート] > [ID] > [レポートの管理] の順に選択します。
ID のレポート ページで送信を停止するレポートを選択し、[スケジュールのリセット] を選択します。
確認メッセージで、[リセット] を選択してプロセスを完了します。