Microsoft Defender for Office 365 プラン 2 の自動調査と対応 (AIR)
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
https://security.microsoft.com/alertsの Microsoft 365 organizationにセキュリティ アラートが表示される場合は、セキュリティ操作 (SecOps) チームがそれらのアラートの確認、優先順位付け、対応を行う必要があります。 受信アラートの量に追いついていると、圧倒的な可能性があります。 これらのタスクの一部を自動化すると役立ちます。
Microsoft Defender for Office 365プラン 2 (E5 やスタンドアロン サブスクリプションなどの Microsoft 365 ライセンスに含まれる) には、SecOps チームの時間と労力を節約する強力な自動調査と対応 (AIR) 機能が含まれています。
AIR は、organization レベルの調査を完了することで、影響の大きい大量のアラートをトリアージします。 AIR 調査は検出を拡大するか、追加の分析を提供して、organizationの脅威の状態を判断します。 AIR は脅威を識別すると、SecOps 担当者が承認する脅威修復アクションをキューに入れます。 AIR を使用すると、次の利点が得られます。
- 既知の脅威に対応する自動調査プロセス。
- 承認待ちの適切な修復アクション。SecOps チームが検出された脅威に効果的に対応できるようにします。
- SecOps チームは、トリガーされる重要なアラートを見失うことなく、優先度の高いタスクに集中できます。
プラン 2 Defender for Office 365の AIR では、監査ログがオンになっている必要があります (既定ではオンになっています)。
AIR の全体的な流れ
アラートがトリガーされ、セキュリティ プレイブックによって自動調査が開始され、結果が得られ、推奨されるアクションが生成されます。 AIR の全体的なフローを次に示します。手順は次のとおりです。
自動調査は、次のいずれかの方法で開始されます。
AIR を開始するように設計された特定のアラート。 これらのアラートには、次のものが含まれます。
疑わしい情報がメール (メッセージ自体、添付ファイル、URL、侵害されたユーザー アカウントなど) で識別されます。
ユーザー申請。
ユーザーがアラートをクリックします。
疑わしいメールボックスの動作。
ヒント
organizationのアラートを定期的に確認してください。 自動調査をトリガーするアラート ポリシーの詳細については、「 脅威管理」カテゴリの既定のアラート ポリシーを参照してください。 [自動調査] の [はい] の値を含むエントリは、自動調査をトリガーできます。 これらのアラートが無効になっているか、カスタム アラートに置き換えられた場合、AIR はトリガーされません。
セキュリティ アナリストは、脅威エクスプローラー、高度なハンティング、カスタム検出、Email エンティティ ページ、またはEmailの概要パネルで
[アクションの実行] を選択して、調査を手動でトリガーします。 詳細については、「脅威ハンティング: Email修復」を参照してください。 例については、Microsoft Defender for Office 365 Plan 2 の「自動調査と応答 (AIR) の例」を参照してください。
自動調査では、アラートの性質、関連するメッセージ、およびメッセージを取り巻く追加の証拠が評価および分析されます。 調査の範囲は、調査中に発見および収集された証拠に基づいて増加する可能性があります。
自動調査中および自動調査後に、 詳細と結果 を入手できます。 結果には、検出された脅威を修復するために SecOps 担当者に 推奨されるアクション が含まれる場合があります。
SecOps チームは 、調査結果と推奨事項 (調査自体、インシデント、またはアクション センター) を確認し、 修復アクションを承認または拒否します。
ヒント
修復アクションは自動的に実行されません。 修復アクションには、SecOps 担当者による手動承認が必要です。 AIR 機能は、すべての詳細を含む推奨修復アクションにアクセスして、情報に基づいた意思決定を行うことで、時間を節約します。
また、AIR は、脅威が見つからなかったアラートとインシデントを評価して自動的に解決することで、時間を節約します。 この結果は、ユーザー送信シナリオで非常に一般的です。 脅威が見つからなかったか、既に修復されているメッセージで脅威が見つかった場合、AIR は調査を終了します。 通常
保留中の修復アクションが承認または拒否されると、自動調査が完了します。
推奨されるアクションが特定されない場合、自動調査は自動的に終了します。 調査の詳細は、https://security.microsoft.com/airinvestigationの [調査] ページで引き続き確認できます。
SecOps チームは、自動調査の実行中と自動調査後に、次のタスクを実行できます。
AIR に必要なアクセス許可とライセンス
AIR を使用するには、アクセス許可が割り当てられている必要があります。 以下のオプションがあります。
-
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可は
アクティブです。PowerShell ではなく Defender ポータルにのみ影響します。- 自動調査を開始するか、推奨されるアクションを承認または拒否する: セキュリティ操作/Email高度な修復アクション (管理)。
-
Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &します。
- AIR 機能の設定: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。
-
自動調査を開始 するか、 推奨されるアクションを承認または拒否します。
- Organization Management、Security Administrator、Security Operator、Security Reader、または Global Reader ロール グループのメンバーシップ。 and
- [検索と消去] ロール。既定では、データ調査担当者または組織管理ロール グループにのみ割り当てられます。 または、検索ロールと消去ロールが割り当てられた新しいロール グループを作成し、ユーザーをカスタム ロール グループに追加することもできます。
-
Microsoft Entraアクセス許可: Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
- AIR 機能を設定するグローバル管理者ロールまたはセキュリティ管理者ロールのメンバーシップ。
-
自動調査を開始 するか、 推奨されるアクションを承認または拒否します。
- グローバル管理者、セキュリティ管理者、セキュリティ オペレーター、セキュリティ 閲覧者、またはグローバル閲覧者ロールのメンバーシップ。 and
- 前に説明したように、Search ロールと Purge ロールが割り当てられているEmail &コラボレーション ロール グループのメンバーシップ。
AIR を使用するには、プラン 2 (サブスクリプションまたはアドオン ライセンスに含まれる) Defender for Office 365ライセンスを割り当てる必要があります。