必要に応じて専門家と共同作業する
適用対象:
注:
Ask Defender Experts は、四半期ごとに割り当てられたDefender エキスパートによる追求 サブスクリプションに含まれています。
[Microsoft 365 セキュリティ ポータル内で Defender エキスパート に直接質問する] を選択して、すべての脅威ハンティングの質問に対して迅速かつ正確な回答を得ることができます。 エキスパートは、organizationが直面する可能性がある複雑な脅威をより深く理解するための分析情報を提供できます。 Defender エキスパートに質問すると、次のことができます。
- 根本原因やスコープなど、アラートとインシデントに関する追加情報を収集する
- 不審なデバイス、アラート、インシデントを明確にし、高度な攻撃者に直面した場合は次の手順を実行します
- 脅威アクター、キャンペーン、または新たな攻撃者手法に関連するリスクと使用可能な保護を決定する
![[Defender エキスパートに質問する] ダイアログ ボックスのスクリーンショット。](media/ask-defender-expert-dialog.png#lightbox)
Ask Defender Experts を使用するために必要なアクセス許可
Defender エキスパートに問い合わせを表示して送信するには、次のいずれかのMicrosoft Entra IDロールを選択する必要があります。
| Microsoft Entra IDロール | 権限レベル |
|---|---|
| グローバル リーダー、セキュリティ リーダー | お問い合わせを読む |
| グローバル 管理、セキュリティ 管理、セキュリティ オペレーター | お問い合わせの読み取りと送信 |
Microsoft Entra IDロールを統合 RBAC アクセス許可にマップする方法の詳細については、「グローバル ロールアクセス Microsoft Defender Microsoft Entra」を参照してください。
Ask Defender Experts 機能を使用しているお客様Microsoft 脅威エキスパート、統合 RBAC から次のアクセス許可Microsoft Defender XDR使用することもできます。
| 統合 RBAC ロールのMicrosoft Defender XDR | 権限レベル |
|---|---|
| セキュリティ データの基本 | 読み取り |
| アラート、応答 | 読み取りと送信 |
Defender エキスパートに問い合わせ先
Defender エキスパートに質問するオプションは、ポータル全体のいくつかの場所で利用できます。
[デバイス ページアクション] メニュー:
![Microsoft Defender ポータルの [デバイス] ページ アクション メニューの [Defender Experts に問い合わせ] メニュー オプションのスクリーンショット。](/ja-jp/defender/media/mte/defenderexperts/device-page-actions-menu.png)
[デバイス インベントリ] ページのポップアップ メニュー:
![Microsoft Defender ポータルの [デバイス インベントリ] ページポップアップ メニューの [Defender エキスパートに質問] メニュー オプションのスクリーンショット。](/ja-jp/defender/media/mte/defenderexperts/device-inventory-flyout-menu.png)
[アラート] ページのポップアップ メニュー:
![Microsoft Defender ポータルの [アラート] ページポップアップ メニューの [Defender エキスパートに質問] メニュー オプションのスクリーンショット。](/ja-jp/defender/media/mte/defenderexperts/alerts-flyout-menu.png)
[インシデント] ページアクション メニュー:
![Microsoft Defender ポータルの [インシデント] ページの [アクション] メニューの [Defender エキスパートに質問] メニュー オプションのスクリーンショット。](/ja-jp/defender/media/mte/defenderexperts/incidents-page-actions-menu.png)
![Microsoft Defender ポータルの [デバイス] ページ アクション メニューの [Defender Experts に問い合わせ] メニュー オプションのスクリーンショット。](/ja-jp/defender/media/mte/defenderexperts/device-page-actions-menu.png#lightbox)
![Microsoft Defender ポータルの [デバイス インベントリ] ページポップアップ メニューの [Defender エキスパートに質問] メニュー オプションのスクリーンショット。](/ja-jp/defender/media/mte/defenderexperts/device-inventory-flyout-menu.png#lightbox)
![Microsoft Defender ポータルの [アラート] ページポップアップ メニューの [Defender エキスパートに質問] メニュー オプションのスクリーンショット。](/ja-jp/defender/media/mte/defenderexperts/alerts-flyout-menu.png#lightbox)
![Microsoft Defender ポータルの [インシデント] ページの [アクション] メニューの [Defender エキスパートに質問] メニュー オプションのスクリーンショット。](/ja-jp/defender/media/mte/defenderexperts/incidents-page-actions-menu.png#lightbox)
Defender Experts からの応答を表示する場所
ポータルで
最大 6 か月前から Defender エキスパートに質問するために送信された問い合わせに対する回答を表示するには、 レポート>Defender Experts メッセージに移動します。 このページでは、フォローアップの質問をしたり、Defender エキスパートに詳細情報を返信したりすることもできます。
電子メール
問い合わせを送信するときに連絡先のメール アドレスを含めた場合は、Defender Experts からの返信が投稿されたときに電子メール通知を受け取ります。
Defender エキスパートから質問できるサンプルの質問
アラート情報
- 私たちは、土地外の生活バイナリに対する新しい種類のアラートを見ました。 アラート ID を指定できます。 このアラートの詳細と、それがインシデントに関連するかどうか、さらに調査する方法について教えてください。
- 同様の 2 つの攻撃が見られ、どちらも悪意のある PowerShell スクリプトを実行しようとしますが、異なるアラートが生成されます。 1 つは "疑わしい PowerShell コマンド ライン" で、もう 1 つは "Office 365によって提供された指示に基づいて悪意のあるファイルが検出されました" です。違いは何ですか?
- 今日、プロファイルの高いユーザーのデバイスから、失敗したログインの異常な数に関する奇妙なアラートを受け取っています。 これらの試みに対するそれ以上の証拠は見つかりません。 これらの試行Microsoft Defender XDR確認するにはどうすればよいですか? 監視されているログインの種類は何ですか?
- アラートと関連するインシデントに関するより多くのコンテキストまたは分析情報を提供できますか。"システム ユーティリティによる不審な動作が観察されました"。
- "転送/リダイレクト ルールの作成" というタイトルのアラートを観察しました。 私は活動が良性であると信じています。 アラートを受け取った理由を教えてください。
デバイスの侵害の可能性
- organizationの多くのデバイスに "不明なプロセスが観察されました" というメッセージまたはアラートが表示される理由を説明してください。 このメッセージまたはアラートが悪意のあるアクティビティやインシデントに関連しているかどうかを明確にするための入力に感謝します。
- 次のシステムで、先週からの侵害の可能性を検証するのに役立ちますか? これは、6か月前に同じシステム上で以前のマルウェア検出と同様に動作しています。
脅威インテリジェンスの詳細
- 悪意のあるWordドキュメントをユーザーに配信するフィッシングメールを検出しました。 このドキュメントによって一連の不審なイベントが発生し、特定のマルウェア ファミリに対して複数のアラートがトリガーされました。 このマルウェアに関する情報はありますか? はいの場合は、リンクをお送りください。
- 最近、業界をターゲットにしている脅威に関するブログ記事を見ました。 この脅威アクターに対してMicrosoft Defender XDRはどのような保護が提供されるかを理解するのに役立ちますか?
- 私たちは最近、organizationに対して行われたフィッシングキャンペーンを観察しました。 これは、特に当社または垂直を対象としていたかどうかを教えてください。
アラート通信のMicrosoft Defender エキスパートによる追求
- インシデント対応チームは、私たちが受け取った Defender エキスパート通知に対処するのに役立ちますか?
- この Defender Experts 通知は、Microsoft Defender エキスパートによる追求から受け取っています。 独自のインシデント対応チームはありません。 今何ができるか、インシデントをどのように封じ込めることができるでしょうか。
- Microsoft Defender エキスパートによる追求から Defender Experts 通知を受け取っています。 インシデント対応チームに渡すことができるデータは何ですか?
Defender Experts のスコープ内にないサービス
Ask Defender Experts は、Microsoft Defender XDRにのみ含まれる製品、つまり、Microsoft Defender for Endpoint、office 用のMicrosoft Defenderに焦点を当てています。Microsoft Defender for Cloud Apps、およびMicrosoft Defender for Identity。
このサービスでは、次のシナリオはカバーされていません。
カスタム検出に関連する問い合わせ - 上記の製品のカスタム検出に関連する問い合わせは、通常、エキスパートがこのようなテレメトリにアクセスしたり、これらのカスタム ポリシーがどのように設定されたかを把握したりできないため、Ask Defender Experts では処理できません。 このようなポリシーの例を次に示します。
- ポリシー ソースを使用したアラート = 習慣
- 検出ソース = カスタム TI
- アラート タイトル = 異常インジケーター
- 脅威ファミリ = カスタム エンタープライズ ブロックのみ
Microsoft Defender XDR以外の製品に関するお問い合わせ - Defender エキスパートは、Microsoft Defender for Cloud、IoT 用Microsoft Defenderなど、Defender XDR以外の製品に関する問い合わせを処理しませんMicrosoft Sentinel、Microsoft Purview、Microsoft Priva、およびその他のサードパーティのサイバーセキュリティ製品。
バグに関する問い合わせ - Defender エキスパートは、Defender XDR ポータルでの製品エクスペリエンスのバグに関する問い合わせ (アラートやインシデント ページのデータの欠落、推奨されるアクションの実行時に完了しないなど) を処理しません。 このような問題については、サービス ハブを介してMicrosoft サポートに連絡できます。
セキュリティ インシデント対応の問題に関連する問い合わせ - Defender エキスパートに質問することは、セキュリティ インシデント対応サービスではありません。 これは、organizationに影響を与える複雑な脅威をより深く理解することを目的としています。 緊急のセキュリティ インシデント対応の問題に対処するために、独自のセキュリティ インシデント対応チームとEngageします。 独自のセキュリティ インシデント対応チームがなく、Microsoft のサポートを希望する場合は、 Premier Services Hub でサポート リクエストを作成します。
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。