Microsoft Defender ポータルでのMicrosoft Defender XDR
https://security.microsoft.comのMicrosoft Defender ポータルは、organization全体とそのすべてのコンポーネントにわたる脅威に対する保護、検出、調査、対応を中央の場所に組み合わせています。 Defender ポータルでは、簡単に使用できるように、情報への迅速なアクセス、よりシンプルなレイアウト、関連情報のまとめが強調されています。 これには、アクセスをプロビジョニングした他の Microsoft セキュリティ ソリューションのMicrosoft Defender XDRと機能が含まれます。
Microsoft Defender ポータルに含まれるサービスの詳細については、次のリソースを参照してください。
- Microsoft Defender ポータルでのMicrosoft Defender for Endpoint
- Microsoft Defender ポータルでのMicrosoft Defender for Office 365
- Microsoft Defender ポータルでのMicrosoft Defender for Identity
- Microsoft Defender ポータルでのMicrosoft Defender for Cloud Apps
- Microsoft Defender ポータルでのクラウド アラートとインシデントのMicrosoft Defender
- Microsoft Defender ポータルでアラートをMicrosoft Purview データ損失防止する
- Microsoft Defender ポータルでのMicrosoft Defender 脆弱性の管理
- Microsoft Defender ポータルでの埋め込みエクスペリエンスのMicrosoft Security Copilot
- Microsoft Defender ポータルでの IoT エンタープライズ監視のMicrosoft Defender
- Microsoft Defender ポータルの Microsoft Sentinel
重要
Microsoft Sentinelは、Microsoft Defender ポータルの Microsoft の統合セキュリティ運用プラットフォーム内で一般公開されています。 プレビューの場合、Microsoft Sentinelは、Microsoft Defender XDRまたは E5 ライセンスなしで Defender ポータルで使用できます。 詳細については、Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。
Defender ポータルの詳細については、この短いビデオをご覧ください。
想定される変化
Microsoft Defender XDRは、Microsoft Defender ポータルのさまざまな Microsoft セキュリティ ソリューションからのシグナルを関連付け、セキュリティ チームが攻撃を調査し、一連の統合エクスペリエンスに対応できるように支援します。
- インシデントとアラート
- 検索
- 申請 & アクション
- 脅威の分析
Microsoft Defender ポータルでは、統一性、明確さ、および一般的な目標が強調されています。 エンティティと通知の検索もポータルで統合されます。
注:
Microsoft Defender ポータルでは、サブスクリプションに含まれるセキュリティ機能のみが表示されます。 たとえば、Defender for Endpoint ではなくDefender for Office 365がある場合、Defender for Office 365の機能は表示されますが、デバイス保護の機能は表示されません。
インシデントとアラートの調査
Microsoft Defender XDRは、organization全体のすべての資産にわたるすべての Microsoft セキュリティ ソリューションからのアラートとイベントをインシデントに関連付けます。 インシデント は、1 つの脅威または攻撃に関連するアラートのコレクションです。 インシデントは、脅威の重大度と、organizationへの潜在的な影響に基づいて優先順位が付けられます。
![Microsoft Defender ポータルの [インシデント] ページ。](/ja-jp/defender/media/incidents-queue/incidents-ss-incidents.png#lightbox)
インシデント名を選択すると、セキュリティ情報を一元化する価値を示すページが表示され、電子メールから ID、エンドポイントまで、脅威の完全な拡張に関するより良い分析情報が得られます。
時間をかけて環境内のインシデントを確認し、各アラートをドリルダウンし、情報にアクセスして分析の次の手順を決定する方法についての理解を深める練習をします。
詳細については、「Microsoft Defender ポータルのインシデント」を参照してください。
検索
カスタム検出ルールを構築し、環境内の特定の脅威を検出できます。 ハンティングでは、クエリ ベースの脅威ハンティング ツールを使用します。これにより、organization内のイベントを事前に検査して脅威インジケーターとエンティティを見つけることができます。 これらのルールは自動的に実行され、侵害の疑いのあるアクティビティ、マシンの構成ミス、その他の結果をチェックし、それに対応します。
詳細については、「Microsoft Defender XDRで高度なハンティングを使用して脅威を事前に検出する」を参照してください。
アクションと申請
アクションは、Microsoft Defender ポータルのエンティティに対して実行されるタスクです。 アクションは、デバイスやユーザーなどの資産に対して実行でき、1 つのエンティティまたは複数のエンティティに対して一度に実行でき、手動または自動で実行できます。
自動アクションは、アラートやインシデントに自動的に対処し、攻撃に迅速に対応するのに役立つ、Microsoft Defender XDR内の機能です。 自動アクションには、次のものが含まれます。
これらのアクションは、Microsoft Defender ポータルの [アクション センター] ページで確認および管理できます。
ファイル、電子メール、電子メールの添付ファイル、URL、または Teams メッセージは、[ 提出] ページで Microsoft に送信して、詳細な分析を行うことができます。 詳細については、 提出ガイドを参照してください。
脅威の分析
脅威分析は、Microsoft セキュリティ研究者のMicrosoft Defender XDR脅威インテリジェンス ソリューションです。 これは、次のような新たな脅威に直面しながら、セキュリティ チームが可能な限り効率的に対応できるように設計されています。
- アクティブな脅威アクターとその攻撃活動
- 人気のある新しい攻撃手法
- 重大な脆弱性
- 一般的な攻撃対象領域
- 流行しているマルウェア
Microsoft Defender XDR設定
Microsoft Defender XDRの設定は、Microsoft Defender ポータルの [設定] > Microsoft Defender XDR ページで管理できます。 [設定] ページでは、次の構成を行うことができます。
- インシデント、対応アクション、脅威分析レポートの通知をEmailします。
- アクセス許可と役割
- ストリーミング API
- 資産ルールの管理
- アラートのチューニング
- 重要な資産管理
統合された検索と通知
グローバル検索
Microsoft Defender ポータルの検索機能は、ページの上部にあります。 入力すると、エンティティを見つけやすくするための提案が提供されます。 強化された検索結果ページでは、すべてのエンティティからの結果が一元化されます。
検索結果は、検索語句に関連するセクションによって分類されます。 Microsoft Defender ポータルでは、次のエンティティを検索できます。
- デバイス - Defender for Endpoint、Defender for Identity、Defender for Cloud、Microsoft Sentinelでサポートされます。
- ユーザー - Defender for Endpoint、Defender for Identity、Defender for Cloud Apps、Microsoft Sentinelでサポートされます。
-
ファイル、IP、URL - Defender for Endpoint と同じ機能。
注:
IP と URL の検索は完全一致に基づいており、検索結果ページには表示されません。エンティティ ページに直接移動します。
- Microsoft Defender 脆弱性の管理 - Defender for Endpoint と同じ機能 (脆弱性、ソフトウェア、推奨事項)。
検索では、Microsoft Tech Community ポータルの関連リンク、Microsoft Learn の関連ドキュメント、ポータル内のナビゲーション アイテム、フィードバックを提供できるリンクからの結果も提供されます。 検索履歴はブラウザーに保存され、今後 30 日間アクセスできます。
通知
通知は、Defender ポータルで重要なイベントや更新プログラムについて通知するメッセージです。 セキュリティ タスクとアラートを確認するのに役立ちます。
通知は、ポータルのユーザー インターフェイスの上部バーにあります。 通知アイコンをクリックすると、ベルのように表示されます。 アイコンの番号は、その数の未読通知があることを示します。
通知では、さまざまな種類のイベントまたは更新プログラムについて通知できます。
- 成功: デバイスのスキャンやポリシーの適用など、アクションまたはタスクが正常に完了した場合。
- 進行中: アクションが進行中の場合。
- 情報: 役に立つ情報がある場合。
- 警告: コンプライアンス違反のデバイスや更新する必要があるポリシーなど、潜在的な問題やリスクがある場合。
- エラー: インシデントの削除やマージ、失敗したスキャン、適用できなかったポリシーなど、注意が必要なエラーまたはエラーがある場合。
各通知には、イベントまたは更新に関する関連情報を提供するタイトルとコンテンツがあります。 各通知には、通知が生成されたタイミングを示すタイムスタンプもあります。
ビューから通知を非表示にすることができます。 通知の右側にある x アイコンをクリックすると、1 つの通知を無視できます。 通知パネルの上部にある [すべて閉じる] を使用して、1 回のクリックでリスト内のすべての通知を 無視 することもできます。
通知を無視しても、ポータルから削除されることはありません。 通知パネルの下部にある [無視された表示] を選択すると、無視 された 通知を常に表示できます。
通知は、通知パネルで生成された時間で並べ替えられます。最新の通知が最初に表示されます。 通知の一覧をスクロールして、古い通知を表示できます。
セキュリティ アナリスト向けトレーニング
Microsoft Learn のこのラーニング パスを使用すると、Microsoft Defender XDRと、セキュリティ上の脅威の特定、制御、修復にどのように役立つかを理解できます。
| トレーニング: | Microsoft Defender XDRを使用して脅威を軽減する |
|---|---|
|
ドメイン間で脅威データを分析し、Microsoft Defender XDRの組み込みのオーケストレーションと自動化を使用して脅威を迅速に修復します。 このラーニング パスは、試験 SC-200: Microsoft Security Operations Analyst と一致します。 9 時間 31 分 - ラーニング パス - 11 モジュール |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。