アクション センター
適用対象:
- Microsoft Defender XDR
アクション センターでは、インシデントタスクやアラート タスクに対して次のような "単一ウィンドウ" エクスペリエンスが提供されます。
- 保留中の修復アクションを承認する。
- 既に承認されている修復アクションの監査ログを表示する。
- 完了した修復アクションを確認する。
アクション センターでは、職場のMicrosoft Defender XDRの包括的なビューが提供されるため、セキュリティ運用チームはより効果的かつ効率的に運用できます。
統合アクション センター
統合アクション センター (https://security.microsoft.com/action-center) には、デバイスの保留中と完了した修復アクション、メール & コラボレーション コンテンツ、ID が 1 か所に一覧表示されます。
例:
- Microsoft Defender セキュリティ センター (https://securitycenter.windows.com/action-center) でアクション センターを使用していた場合は、Microsoft Defender ポータルで統合アクション センターを試してください。
- Microsoft Defender ポータルを既に使用していた場合は、アクション センター (https://security.microsoft.com/action-center) にいくつかの機能強化が表示されます。
統合アクション センターは、Microsoft Defender for EndpointとMicrosoft Defender for Office 365全体で修復アクションをまとめます。 すべての修復アクションの共通言語を定義し、統合された調査エクスペリエンスを提供します。 セキュリティ運用チームには、修復アクションを表示および管理するための "1 つのウィンドウ" エクスペリエンスがあります。
適切なアクセス許可と次のサブスクリプションの 1 つ以上がある場合は、統合アクション センターを使用できます。
ヒント
詳細については、「 要件」を参照してください。
承認待ちのアクションの一覧には、次の 2 つの異なる方法で移動できます。
- または に移動します https://security.microsoft.com/action-center。
- Microsoft Defender ポータル (https://security.microsoft.com) で、[自動調査 & 応答] カードで、[アクション センターで承認] を選択します。
アクション センターの使用
ポータルMicrosoft Defender移動し、サインインします。
ナビゲーション ウィンドウの [ アクションと申請] で、[ アクション センター] を選択します。 または、[自動調査 & 応答] カードで、[アクション センターで承認] を選択します。
[保留中のアクション] タブと [履歴] タブを使用します。 次の表は、各タブに表示される内容をまとめたものです。
タブ 説明 Pending 注意が必要なアクションの一覧を表示します。 一度に 1 つずつアクションを承認または拒否したり、同じ種類のアクション (検疫ファイルなど) を持つ複数のアクションを選択したりできます。
自動調査をタイムリーに完了できるように、保留中のアクションをできるだけ早く確認して承認 (または拒否) してください。履歴 次のような、実行されたアクションの監査ログとして機能します。 - >自動調査の結果として実行された修復アクション
- 疑わしいメール メッセージ、ファイル、または URL に対して実行された修復アクション
- セキュリティ運用チームによって承認された修復アクション
- 実行されたコマンドと、ライブ応答セッション中に適用された修復アクション
- ウイルス対策保護によって実行された修復アクション
特定のアクションを元に戻す方法を提供します (「 完了した操作を元に戻す」を参照)。アクション センターでは、データのカスタマイズ、並べ替え、フィルター処理、エクスポートを行うことができます。
- 列見出しを選択して、項目を昇順または降順で並べ替えます。
- 期間フィルターを使用して、過去 1 日、週、30 日、または 6 か月のデータを表示します。
- 表示する列を選択します。
- データの各ページに含める項目の数を指定します。
- フィルターを使用して、表示する項目のみを表示します。
- [ エクスポート] を選択して、結果を .csv ファイルにエクスポートします。
アクション センターで追跡されるアクション
すべての修復アクションは、承認待ちか既に承認済みかにかかわらず、アクションセンターに統合されます。 使用可能なアクションは次のとおりです。
- 調査パッケージの収集
- デバイスの分離 (この操作は元に戻すことができます)
- コンピューターのオフロード
- リリース コードの実行
- 検疫からの解放
- サンプルの要求
- コードの実行を制限する (このアクションは元に戻すことができます)
- ウイルス対策スキャンの実行
- 停止と検疫
- ネットワークからデバイスを格納する
アクション センターでは、自動調査の結果として自動的に実行される修復アクションに加えて、検出された脅威に対処するためにセキュリティ チームが実行したアクションと、Microsoft Defender XDRの脅威保護機能の結果として実行されたアクションも追跡します。 自動修復アクションと手動修復アクションの詳細については、「 修復アクション」を参照してください。
アクション ソースの詳細の表示
改善されたアクション センターには、各 アクション の送信元を示す [アクション ソース] 列が含まれています。 次の表では、 考えられるアクション ソース 値について説明します。
アクション ソースの値 | 説明 |
---|---|
デバイスの手動操作 | デバイスで手動で実行されるアクション。 たとえば、 デバイスの分離 や ファイル検疫などがあります。 |
手動の電子メール アクション | 電子メールで実行された手動アクション。 たとえば、電子メール メッセージの論理的な削除や 電子メール メッセージの修復が含まれます。 |
自動デバイス アクション | ファイルやプロセスなど、エンティティに対して実行される自動アクション。 自動アクションの例としては、検疫へのファイルの送信、プロセスの停止、レジストリ キーの削除などがあります。 (「Microsoft Defender for Endpointの修復アクション」を参照してください)。 |
自動メール アクション | 電子メール メッセージ、添付ファイル、URL など、電子メール コンテンツに対して実行される自動アクション。 自動アクションの例としては、電子メール メッセージの論理的な削除、URL のブロック、外部メール転送のオフなどがあります。 (「Microsoft Defender for Office 365の修復アクション」を参照してください)。 |
高度なハンティング アクション | 高度なハンティングを使用してデバイスまたは電子メールに対して実行されるアクション。 |
エクスプローラーアクション | エクスプローラーを使用して電子メール コンテンツに対して実行されたアクション。 |
手動ライブ応答アクション | ライブ応答を使用してデバイスで実行されたアクション。 たとえば、ファイルの削除、プロセスの停止、スケジュールされたタスクの削除などがあります。 |
ライブ応答アクション | Microsoft Defender for Endpoint API を使用してデバイスで実行されるアクション。 アクションの例としては、デバイスの分離、ウイルス対策スキャンの実行、ファイルに関する情報の取得などがあります。 |
アクション センター タスクに必要なアクセス許可
アクション センターで保留中のアクションの承認や拒否などのタスクを実行するには、特定のアクセス許可が必要です。 以下のオプションがあります。
Microsoft Entraアクセス許可: メンバーシップこれらのロールは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可を提供します。
Microsoft Defender for Endpoint修復 (デバイス):セキュリティ管理者ロールのメンバーシップ。
Microsoft Defender for Office 365修復 (Office コンテンツと電子メール):
- セキュリティ管理者ロールのメンバーシップ。
and
- [検索] ロールと [消去] ロールが割り当てられているコラボレーションのアクセス許可Email &役割グループのメンバーシップ。 既定では、このロールは、Email &コラボレーションアクセス許可の Data Investigator ロール グループと Organization Management ロール グループにのみ割り当てられます。 これらの役割グループにユーザーを追加することも、Search ロールと Purge ロールが割り当てられているコラボレーションアクセス許可Email &新しいロール グループを作成し、そのユーザーをカスタム ロール グループに追加することもできます。
Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &します。
Microsoft Defender for Office 365修復 (Office コンテンツと電子メール):
- セキュリティ管理者ロール グループのメンバーシップ
and
- [検索] ロールと [消去] ロールが割り当てられているコラボレーションのアクセス許可Email &役割グループのメンバーシップ。 既定では、このロールは、Email &コラボレーションアクセス許可の Data Investigator ロール グループと Organization Management ロール グループにのみ割り当てられます。 これらの役割グループにユーザーを追加することも、Search ロールと Purge ロールが割り当てられているコラボレーションアクセス許可Email &新しいロール グループを作成し、そのユーザーをカスタム ロール グループに追加することもできます。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)
- Microsoft Defender for Endpoint修復: セキュリティ操作 \ セキュリティ データ \ 応答 (管理)。
-
Microsoft Defender for Office 365修復 (Office コンテンツと電子メール、コラボレーション>Email &場合Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。
- 電子メールと Teams メッセージ ヘッダーの読み取りアクセス: セキュリティ操作/未加工データ (電子メール & コラボレーション)/Email &コラボレーション メタデータ (読み取り)。
- 悪意のあるメールを修復する: セキュリティ操作/セキュリティ データ/Email &コラボレーションの高度なアクション (管理)。
ヒント
コラボレーションのアクセス許可Email &セキュリティ管理者ロール グループのメンバーシップは、アクション センターまたはMicrosoft Defender XDR機能へのアクセスを許可しません。 これらの場合は、Microsoft Entraアクセス許可のセキュリティ管理者ロールのメンバーである必要があります。
Defender for Endpoint のアクセス許可:
- Microsoft Defender for Endpoint修復 (デバイス):アクティブな修復アクション ロールのメンバーシップ。
ヒント
Microsoft Entra IDのグローバル管理者ロールのメンバーは、アクション センターで保留中のアクションを承認または拒否できます。 ただし、ベスト プラクティスとして、 グローバル管理者 ロールのメンバーを制限する必要があります。 アクション センターのアクセス許可については、前の一覧で説明したように、代替ロールと役割グループを使用することをお勧めします。
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。