高度なハンティング クエリ結果に対してアクションを実行する

適用対象:

• Microsoft Defender XDR

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

強力で包括的なアクション オプションを使用して、 高度なハンティング で見つけた脅威をすばやく含めたり、侵害された資産に対処したりできます。 これらのオプションを使用すると、次のことができます。

• デバイスでさまざまなアクションを実行する
• 検疫ファイル

必要なアクセス許可

高度なハンティングを通じてデバイスに対してアクションを実行するには、デバイスで修復アクションを送信するためのアクセス許可を持つMicrosoft Defender for Endpointの役割が必要です。

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

アクションを実行できない場合は、次のアクセス許可の取得についてグローバル管理者に問い合わせてください。

アクティブな修復アクション > 脅威と脆弱性の管理 - 修復処理

高度なハンティングを通じてメールに対してアクションを実行するには、メールを検索および消去するためのMicrosoft Defender for Office 365の役割が必要です。

デバイスでさまざまなアクションを実行する

クエリ結果の列によって識別されるデバイスでは、 DeviceId 次のアクションを実行できます。

• 影響を受けるデバイスを分離して感染を封じ込めるか、攻撃が横方向に動かないようにする
• 調査パッケージを収集して、より多くのフォレンジック情報を取得する
• ウイルス対策スキャンを実行し、最新のセキュリティ インテリジェンス更新プログラムを使用して脅威を検出して削除する
• 自動調査を開始して、デバイスとその他の影響を受けるデバイスの脅威をチェックして修復する
• アプリの実行を Microsoft 署名の実行可能ファイルのみに制限し、マルウェアやその他の信頼されていない実行可能ファイルを介した後続の脅威アクティビティを防ぎます

これらの応答アクションがMicrosoft Defender for Endpointを介して実行される方法の詳細については、デバイスでの応答アクションに関するページを参照してください。

検疫ファイル

ファイルに検疫アクションをデプロイして、検出されたときに自動的に検疫されるようにすることができます。 このアクションを選択するときに、次の列のいずれかを選択して、検疫するクエリ結果内のファイルを識別できます。

• SHA1: 最も高度なハンティング テーブルでは、この列は、記録されたアクションの影響を受けるファイルの SHA-1 を参照します。 たとえば、ファイルがコピーされた場合、この影響を受けるファイルはコピーされたファイルになります。
• InitiatingProcessSHA1: 最も高度なハンティング テーブルでは、この列は、記録されたアクションの開始を担当するファイルを参照します。 たとえば、子プロセスが起動された場合、このイニシエーター ファイルは親プロセスの一部になります。
• SHA256: この列は、列によって SHA1 識別されるファイルに相当する SHA-256 です。
• InitiatingProcessSHA256: この列は、列によって InitiatingProcessSHA1 識別されるファイルに相当する SHA-256 です。

検疫アクションの実行方法とファイルの復元方法の詳細については、ファイル に対する応答アクションに関するページを参照してください。

注:

ファイルを見つけて検疫するには、クエリ結果にデバイス識別子として値も含める DeviceId 必要があります。

説明されているアクションを実行するには、クエリ結果で 1 つ以上のレコードを選択し、[ アクションの実行] を選択します。 ウィザードを使用すると、好みのアクションを選択して送信するプロセスがガイドされます。

メールに対してさまざまなアクションを実行する

デバイスに焦点を当てた修復手順とは別に、クエリ結果から電子メールに対していくつかのアクションを実行することもできます。 アクションを実行するレコードを選択し、[アクションの 実行] を選択し、[ アクションの選択] で次から任意のレコードを選択します。

• Move to mailbox folder - メール メッセージを [迷惑メール]、[受信トレイ]、または [削除済みアイテム] フォルダーに移動するには、このアクションを選択します

  [ 受信トレイ ] オプションを選択すると、検疫されたアイテム (たとえば、誤検知の場合) で構成される電子メールの結果を移動できます。

  

• Delete email - 電子メール メッセージを削除済みアイテム フォルダーに移動する (論理的な削除) または完全に削除する (ハード削除) するには、このアクションを選択します。

  [論理的な削除] を選択すると、送信者がorganizationにある場合、送信者の [送信済みアイテム] フォルダーからメッセージが自動的に論理的に削除されます。

  

  送信者のコピーの自動論理的な削除は、 テーブルと EmailPostDeliveryEvents テーブルをEmailEvents使用した結果には使用できますが、テーブルはUrlClickEvents使用できません。 さらに、アクションの実行ウィザードに表示されるこのアクション オプションの列 EmailDirection と SenderFromAddress 列が結果に含まれている必要があります。 送信者のコピー クリーンアップは、organization内のメールと送信メールに適用され、送信者のコピーのみがこれらのメール メッセージに対して論理的に削除されるようにします。 受信メッセージは範囲外です。

  参照として次のクエリを参照してください。

  EmailEvents
  | where ThreatTypes contains "spam"
  | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
  

修復名と、アクション センターの履歴で簡単に追跡するために実行されたアクションの簡単な説明を指定することもできます。 承認 ID を使用して、アクション センターでこれらのアクションをフィルター処理することもできます。 この ID は、ウィザードの最後に提供されます。

これらの電子メール アクションは、 カスタム検出 にも適用されます。

実行されたアクションを確認する

各アクションは、アクション センターの [アクション センター>の履歴 ( security.microsoft.com/action-center/history)] の下に個別に記録されます。 アクション センターに移動して、各アクションの状態をチェックします。

注:

この記事の一部のテーブルは、Microsoft Defender for Endpointでは使用できない場合があります。 Microsoft Defender XDRをオンにして、より多くのデータ ソースを使用して脅威を探します。 高度なハンティング ワークフローをMicrosoft Defender for EndpointからMicrosoft Defender XDRに移動するには、「高度なハンティング クエリをMicrosoft Defender for Endpointから移行する」の手順に従います。

関連記事

• 高度な追求の概要
• クエリ言語の説明
• クエリ結果を操作する
• スキーマを理解する
• アクション センターの概要

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。