ハンティングのための Microsoft Defender エキスパートの使用を開始する
適用対象:
オンボード
Microsoft Defender XDR と Defender Experts for Hunting を初めて使用する場合:
- ウェルカム メールを受け取ると、[ Microsoft Defender XDR にログイン] を選択します。
- 既に Microsoft アカウントを持っている場合はサインインします。 存在しない場合は、作成します。
- Microsoft Defender XDR クイック ツアーでは、機能がどこにあり、それらがいかに重要であるかを示すセキュリティ スイートについて理解できます。 [ クイック ツアーを行う] を選択します。
- Microsoft Defender Experts サービスの概要と、そのサービスが提供する機能に関する簡単な説明をお読みください。 [次へ] を選択します。 ウェルカム ページが表示されます。
Defender エキスパートの通知を受け取る
Defender Experts Notifications サービスには、次のものが含まれます。
- 脅威の監視と分析、ドウェル時間とビジネスへのリスクの削減
- 既知の攻撃と新たな脅威の両方を検出して標的にするハンタートレーニング人工知能
- 最も関連するリスクを特定し、SOC の有効性を最大化するのに役立ちます
- 迅速な SOC 対応を可能にするために、セキュリティ侵害とできるだけ多くのコンテキストを迅速に配信する際のヘルプ
サンプルの Defender Experts 通知を表示するには、次のスクリーンショットを参照してください。
Defender エキスパート通知の場所
Defender エキスパートからの Defender エキスパート通知は、次のメディアを通じて受け取ることができます。
- Microsoft Defender ポータルの [インシデント] ページ
- Microsoft Defender ポータルの [アラート] ページ
- OData アラート API と REST API
- 高度なハンティングの DeviceAlertEvents テーブル
- 電子メール 通知ルールを構成する場合のメール
Defender エキスパート通知のみを表示するフィルター
多数のアラートのうち Defender エキスパート通知のみを表示する場合は、インシデントとアラートをフィルター処理できます。 そのためには、次を実行します。
- ナビゲーション メニューで、[インシデント] & [アラート>] [インシデント>] の [を選択します。
- [サービス/検出ソース] まで下にスクロールし、[Microsoft Defender for Endpoint] と [Microsoft DefenderXDR] の下にある [Microsoft Defender Experts] チェック ボックスをオンにします。
- [適用] を選択します。
Defender Experts の電子メール通知を設定する
Microsoft Defender XDR を設定して、Microsoft Defender エキスパートによって観察されたものも含め、新しいインシデントや既存のインシデントの更新に関する電子メールをユーザーまたはスタッフに通知できます。 電子メールでインシデント通知を受け取る方法の詳細
- [Microsoft Defender XDR] ナビゲーション ウィンドウで、[設定]>[Microsoft Defender XDR>電子メール通知>インシデント] を選択します。
- 既存のメール通知ルールを更新するか、新しいメール通知ルールを作成します。 詳細については、「 監査」を参照してください。
- ルールの [通知設定] ページで、次の内容を構成してください。
- ソース – Microsoft DefenderXDR と Microsoft Defender for Endpoint の下にある Microsoft Defender エキスパートを選択する
- アラートの重大度 – インシデント通知をトリガーするアラートの重大度を選択します。 たとえば、重大度の高いインシデントのみを通知する場合は、[高] を選択します。
サンプル Defender Experts 通知を生成する
サンプルの Defender Experts 通知を生成して、実際の重要なアクティビティが環境内で発生するのを待たずに、Defender Experts for Hunting サービスの体験を開始できます。 また、サンプル通知を生成すると、このサービス用に Microsoft Defender ポータルで以前に構成した メール通知 をテストしたり、プレイブック (このような通知用に構成されている場合) やセキュリティ情報とイベント管理 (SIEM) 環境のルールの構成をテストしたりできます。
「Defender Experts: Microsoft Defender Experts からのテスト通知」というタイトルのサンプル Defender Experts 通知がインシデント ページに表示されます。 通知の 内容 はプレースホルダー テキストですが、アラートなどの他の要素はテナントに存在するイベントからランダムに生成され、実際には影響を受けません。
サンプル通知を生成するには:
- Microsoft Defender XDR ナビゲーション ウィンドウで、[設定] [Defender Experts]> の順に移動し、[サンプル通知] を選択します。
- [ サンプル通知の生成] を選択します。 緑色のステータス メッセージが表示され、サンプル通知がレビューの準備ができていることを確認します。
- [ 最近生成された Defender Experts 通知] で、一覧からリンクを選択して、対応する生成されたサンプル通知を表示します。 最新のサンプルが一覧の上部に表示されます。 リンクを選択すると、[ インシデント ] ページにリダイレクトされます。
次の手順
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。