Microsoft Defender for Office 365 プラン 2 の自動調査と対応 (AIR) での修復アクションの確認と管理
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Defender for Office 365 プラン 2 (E5 などの Microsoft 365 ライセンスまたはスタンドアロン サブスクリプションに含まれる) を持つ Microsoft 365 組織では、自動調査と応答 (AIR) によって、多くの場合、修復アクションが保留中になります。 以下に例を示します。
- 電子メール メッセージまたはクラスターを論理的に削除する。
- 外部メール転送をオフにします。
これらの修復アクションは自動的には実行されません。 修復アクションには、セキュリティ操作 (SecOps) チームのメンバーによる承認が必要です。 この記事の残りの部分では、保留中の修復アクションを承認または拒否する方法について説明します。
ヒント
自動調査がタイムリーに完了するように、保留中の修復アクションをできるだけ早く確認して承認または拒否することをお勧めします。
システムは、同じクラスターが複数回承認された重複または重複する調査をチェックします。 前の 1 時間以内に同じ調査クラスターが既に承認されている場合、新しい重複する修復は再び処理されません。 この動作では、重複する調査や調査の証拠は削除されません。単に承認されたアクションを重複除去して修復処理速度を向上させます。 重複して承認されたクラスター調査の場合、https://security.microsoft.com/action-center/historyのMicrosoft Defender ポータルの [アクション センター] ページの [履歴] タブに、アクションの詳細が表示されません。
はじめに把握しておくべき情報
- AIR のアクセス許可とライセンス要件については、「AIR に 必要なアクセス許可とライセンス」を参照してください。
- 保留中のアクションは、承認を 1 週間待機した後にタイムアウトします。
Defender for Office 365の [調査] ページから保留中のアクションを承認または拒否する
Defender for Office 365の [インシデント] ページの詳細については、Microsoft Defender for Office 365 プラン 2 の自動調査と対応 (AIR) の詳細と結果に関するページを参照してください。
- https://security.microsoft.comのMicrosoft Defender ポータルで、Email &コラボレーション>Investigations のDefender for Office 365の [調査] ページに移動します。 または、Defender for Office 365の [調査] ページに直接移動するには、https://security.microsoft.com/airinvestigationを使用します。
- Defender for Office 365の [調査] ページで、一覧で [状態] の値が [承認待ち] になっている項目を探します。
Filter を使用して、[状態] 値 [保留中] アクションで結果をフィルター処理します。 - [調査] ページで、[ID] 列の [
[新しいウィンドウで開く] をクリックして [保留中] アクション 項目を選択します ([チェック] ボックスは選択しません)。 - 開いた調査の詳細ページで、[保留中のアクション] タブを選択し、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。
- 開いた詳細ポップアップで情報を確認し、ポップアップの上部から次のいずれかのアクションを選択します。
-
承認: 保留中のアクションを開始します。 -
拒否: 保留中のアクションが実行されないようにします。
-
Defender XDRの [インシデント] ページから保留中のアクションを承認または拒否する
Defender XDRの [インシデント] ページの詳細については、「Microsoft Defender XDRでのインシデントの調査」を参照してください。
https://security.microsoft.comのMicrosoft Defender ポータルで、[インシデント] & アラート>Incidents のDefender XDRの [インシデント] ページに移動します。 または、Defender XDRの [インシデント] ページに直接移動するには、https://security.microsoft.com/incidentsを使用します。
Defender XDRの [調査] ページで、一覧で [状態] の値が [承認待ち] になっている項目を探します。 結果をフィルター処理するには、次の手順に従います。
- [ インシデント ] ページで [
Clear] を選択して、既存の不要なフィルターをクリアします。 - [フィルター 追加] を選択します。
- 開いた [ フィルターの追加 ] ダイアログで、[ 自動調査の状態] を選択し、[ 追加] を選択します。
- [インシデント] ページで [自動調査の状態: 任意のフィルター] を選択します。
- 開いたドロップダウン リストで、[ 保留中のアクション] を選択し、[ 適用] を選択します。
ヒント
自動調査状態によるフィルター処理: 保留中のアクションでは、調査状態の承認待ち値を持つ親インシデントが表示される場合があります。 その場合は、親の 承認待ち インシデントに関心があります。
- [ インシデント ] ページで [
[インシデント] ページで、[インシデント名] の値をクリックして [保留中の承認インシデント] を選択します ([チェック] ボックスは選択しません)。
開いたインシデントの詳細ページで、[ 証拠と応答 ] タブを選択し、[ 修復の状態 ] 値が [承認待ち] のエントリを見つけます。 以下に例を示します。
- [修復の状態] 列ヘッダーをクリックし、[昇順で並べ替え] を選択します。
- [修復の状態] セクション >[Apply] で[Filter>Pending approval]\(承認待ち\) を選択します。
[証拠と応答] タブで、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、[保留中の承認] エントリを選択します。
開いた詳細ポップアップで情報を確認し、ポップアップの上部から次のいずれかのアクションを選択します。
-
承認: 保留中のアクションを開始します。 -
拒否: 保留中のアクションが実行されないようにします。
-
統合アクション センターから保留中のアクションを承認または拒否する
Defender XDRの統合アクション センターの詳細については、「アクション センター」を参照してください。
- https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション] & の [アクション] ページの [保留中] タブ>[アクション センター>保留中] タブに移動します。または、アクション センター ページの [保留中] タブに直接移動するには、https://security.microsoft.com/action-center/pendingを使用します。
- [アクション センター] ページの [保留中] タブで、[調査 ID] の値をクリックして一覧からエントリを選択します ([チェック] ボックスは選択しません)。
- 開いた調査の詳細ページで、[保留中のアクション] タブを選択し、最初の列の横にある [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。
- 開いた詳細ポップアップで情報を確認し、ポップアップの上部から次のいずれかのアクションを選択します。
-
承認: 保留中のアクションを開始します。
-
拒否: 保留中のアクションが実行されないようにします。
-
修復アクションを変更または元に戻す
手順については、「 修復アクションを元に戻す」を参照してください。