次の方法で共有

XDR サービスの Defender Experts の使用を開始する

  • [アーティクル]

適用対象:

Microsoft Defender Experts for XDR の オンボード手順と準備チェック を完了すると、Microsoft のエキスパートは、お客様に代わって包括的なサービスを実行できるように、お客様の環境の監視を開始してサービスを合理化します。 この段階では、潜在的な脅威、リスクの原因、および通常のアクティビティを専門家が特定します。

エキスパートが代理で包括的な対応作業を開始すると、修復手順が必要なインシデントに関する通知と、重大なインシデントに対するターゲットの推奨事項の受信が開始されます。 また、重要なクエリや通常のビジネスおよびセキュリティ体制のレビューに関する Microsoft の専門家またはサービス配信マネージャー (SDM) とチャットし、お客様に代わって調査および解決されたインシデントの数に関するリアルタイム レポートを表示することもできます。

管理対象検出と管理対象応答

自動化と人間の専門知識を組み合わせることで、Defender Experts for XDR は Microsoft Defender XDR インシデントをトリアージし、お客様に代わって優先順位を付け、ノイズを除外し、詳細な調査を行い、セキュリティ オペレーション センター (SOC) チームに実用的なマネージド対応を提供します。

インシデントの更新

エキスパートがインシデントの調査を開始すると、インシデントの [割り当て先 ] フィールドと [状態] フィールドがそれぞれ Defender Experts[進行中] に更新されます。

エキスパートがインシデントに関する調査を終了すると、専門家の調査結果に応じて、インシデントの 分類 フィールドが次のいずれかに更新されます。

  • 真陽性
  • 誤検知
  • 情報、予想されるアクティビティ

各分類に対応する [決定 ] フィールドも更新され、エキスパートが上記の分類を決定するきっかけとなった結果に関するより多くの分析情報が提供されます。

[タグ]、[状態]、[割り当て先]、[分類]、[決定] の各フィールドを示す [インシデント] ページのスクリーンショット。

インシデントが False Positive または InformationalExpected Activity として分類されている場合、インシデントの [状態] フィールドが [解決済み] に更新されます。 その後、エキスパートはこのインシデントに関する作業を終了し、[ 割り当て先 ] フィールドが [未割り当て] に更新されます。 当社の専門家は、インシデントを解決するときに、調査の最新情報と結論を共有する場合があります。 これらの更新は、インシデントの [コメントと履歴 ] ポップアップ パネルに投稿されます。

注:

インシデントコメントは一方向の投稿です。 Defender エキスパートは、[ コメントと履歴 ] パネルに追加したコメントや質問に応答できません。 エキスパートと対応する方法の詳細については、「 Microsoft Defender Experts for XDR サービスのエキスパートとの通信」を参照してください。

それ以外の場合、インシデントが True Positive として分類された場合、エキスパートは、実行する必要がある必要がある対応アクションを特定します。 アクションを実行する方法は、Defender Experts for XDR サービスに付与したアクセス許可とアクセス レベルによって異なります。 エキスパートにアクセス許可を付与する方法について詳しくは、こちらをご覧ください

  • XDR の Defender Experts に推奨されるセキュリティ オペレーターアクセス許可を付与している場合、エキスパートはインシデントに対して必要な応答アクションをユーザーに代わって実行できます。 これらのアクションは、 調査の概要と共に、Microsoft Defender ポータルのインシデントの [マネージド応答 ] ポップアップ パネルに表示され、ユーザーまたは SOC チームが確認できます。 Defender Experts for XDR によって完了したすべてのアクションは、[ 完了したアクション ] セクションに表示されます。 自分または SOC チームが完了する必要がある保留中のアクションは、[ 保留中のアクション ] セクションの下に一覧表示されます。 詳細については、「 アクション」 セクションを参照してください。 エキスパートがインシデントに対して必要なすべてのアクションを実行すると、[ 状態] フィールドが [解決済 み] に更新され、[ 割り当て先 ] フィールドが [未割り当て] に更新されます。

  • XDR の Defender Experts に既定のセキュリティ 閲覧者アクセス権を付与した場合は、必要な応答アクションと調査の概要が、Microsoft Defender ポータルの [保留中のアクション] セクションの下にあるインシデントの [マネージド応答] ポップアップ パネルに表示され、ユーザーまたは SOC チームが実行できます。 詳細については、「 アクション」 セクションを参照してください。 この引き渡しを識別するために、インシデントの [状態] フィールドが [顧客アクションの待機 中] に更新 され、[割り当て先 ] フィールドが [顧客] に更新されます。

操作が必要なインシデントの数は、Microsoft Defender ホームページの上部にある Defender エキスパート バナーで確認できます。

Microsoft Defender ポータルの Defender Experts カードのスクリーンショット。顧客のアクションを待機しているインシデントの数が示されています。

エキスパートが調査または現在調査しているインシデントを表示するには、Defender Experts タグを使用して Microsoft Defender ポータルのインシデント キューをフィルター処理します。

Defender Experts タグを持つインシデントのみを表示するようにフィルター処理された Microsoft Defender ポータルのインシデント キューのスクリーンショット。

Microsoft Defender XDR でマネージド応答を使用する方法

Microsoft Defender ポータルでは、マネージド応答を使用して注意を払う必要があるインシデントの [ 割り当て 先] フィールドが [顧客 ] に設定され、[ インシデント ] ウィンドウの上部にタスク カードが設定されています。 指定されたインシデント連絡先には、対応する電子メール通知も受信され、Defender ポータルへのリンクが表示され、インシデントが表示されます。 通知連絡先の詳細については、こちらをご覧ください

タスク カードまたはポータル ページの上部 ([マネージド応答] タブ) の [管理された応答の表示] を選択して、専門家の調査の概要を読み取ったり、エキスパートによって特定された保留中のアクションを完了したり、チャットを通じて操作したりできるポップアップ パネルを開きます。

調査の概要

[ 調査の概要 ] セクションでは、エキスパートによって分析されたインシデントに関するより多くのコンテキストが提供され、直ちに対処されていない場合に、その重大度と潜在的な影響についての可視性が提供されます。 これには、デバイスのタイムライン、攻撃のインジケーター、観察された侵害 (IOC) のインジケーター、その他の詳細が含まれる場合があります。

マネージド応答調査の概要のスクリーンショット。

アクション

[ アクション] タブには、エキスパートが推奨する応答アクションを含むタスク カードが表示されます。

現在、Defender Experts for XDR では、次のワンクリックマネージド応答アクションがサポートされています。

操作 説明
デバイスの分離 デバイスを分離します。これは、攻撃者がデバイスを制御し、データ流出や横移動などの追加のアクティビティを実行するのを防ぐのに役立ちます。 分離されたデバイスは引き続き Microsoft Defender for Endpoint に接続されます。
ファイルの検疫 プロセスの実行を停止し、ファイルを検疫し、レジストリ キーなどの永続的なデータを削除します。
アプリの実行を制限する 悪意のある可能性のあるプログラムの実行を制限し、デバイスをロックして、それ以上の試行を防ぎます。
分離からの解放 デバイスの分離を元に戻します。
アプリの制限を削除する 分離からの解放を元に戻します。

これらのワンクリック アクションとは別に、手動で実行する必要がある専門家からマネージド応答を受け取ることもできます。

注:

推奨されるマネージド応答アクションを実行する前に、自動調査と応答の構成によってまだ対処されていないことを確認してください。 Microsoft Defender XDR の自動調査と対応機能の詳細について説明します。

マネージド応答アクションを表示して実行するには、次の手順を実行します。

  1. アクション カードの矢印ボタンを選択して展開し、必要なアクションの詳細を確認します。

    デバイス prod サーバーを分離するためのマネージド応答アクションのスクリーンショット。

  2. ワンクリック応答アクションを含むカードの場合は、必要なアクションを選択します。 カードの [アクションの状態 ] は、アクションの結果に応じて [進行中] に変わり、[ 失敗] または [完了] に変わります。

    デバイス prod サーバーを分離するための進行中のマネージド応答アクションのスクリーンショット。

    ヒント

    また、 アクション センターでポータル内の応答アクションの状態を監視することもできます。 応答アクションが失敗した場合は、[ デバイスの詳細の表示 ] ページからやり直すか、Defender Experts との チャットを開始 します。

  3. 手動で実行する必要がある必要があるアクションを含むカードの場合 は、[この操作を実行したら完了 しました] を選択し、表示される確認ダイアログ ボックスで [ はい、完了 しました] を選択します。

    アクションの完了を確認するマネージド応答アクションのスクリーンショット。

  4. 必要なアクションをすぐに完了しない場合は、[ スキップ] を選択し、表示される確認ダイアログ ボックスで [ はい、このアクションをスキップ する] を選択します。

重要

アクション カードのボタンのいずれかが淡色表示されている場合は、アクションを実行するために必要なアクセス許可がないことを示している可能性があります。 適切なアクセス許可を持つ Microsoft Defender XDR ポータルにサインインしていることを確認します。 ほとんどのマネージド応答アクションでは、少なくとも Security Operator アクセス権が必要です。

適切なアクセス許可でもこの問題が引き続き発生する場合は、[ デバイスの詳細の表示] に移動し、そこから手順を完了します。

SIEM または ITSM アプリケーションで Defender Experts の調査を可視化する

XDR の Defender Experts がインシデントを調査し、修復アクションを考え出すにつれて、セキュリティ情報とイベント管理 (SIEM) アプリケーションと IT サービス管理 (ITSM) アプリケーション (すぐに利用できるアプリケーションなど) のインシデントに対する作業を可視化できます。

Microsoft Sentinel

Microsoft Sentinel でインシデントの可視性を得るには、すぐに使用できる Microsoft Defender XDR データ コネクタをオンにします。 詳細情報 を参照してください。

コネクタをオンにすると、Microsoft Defender XDR の [状態]、[ 割り当て先]、[ 分類]、[ 決定 ] フィールドに対する Defender エキスパートによる更新が、Sentinel の対応する [状態]、[ 所有者]、および [理由 ] フィールドに表示されます。

注:

Microsoft Defender XDR で Defender Experts によって調査されたインシデントの状態は、通常、アクティブから進行中に移行し、Sentinel では [新規] から [アクティブ] から [解決済み] のパスに従います。 Microsoft Defender XDR Status Awaiting Customer Action には、Sentinel に同等のフィールドがありません。代わりに、Sentinel のインシデントでタグとして表示されます。

次のセクションでは、調査の過程を進めるにつれて、Sentinel でエキスパートによって処理されたインシデントがどのように更新されるかについて説明します。

  1. エキスパートによって調査されているインシデントには 、[状態][アクティブ] と表示され、[ 所有者 ] が Defender Experts として表示されます。
  2. エキスパートが True Positive として確認したインシデントには、Microsoft Defender XDR にマネージド応答が投稿され、 顧客アクションを待機している タグと 所有者顧客として表示されます。 提供されたマネージド応答の使用に基づいてインシデントに対処する必要があります。
  3. エキスパートが調査を終了し、インシデントを False Positive または InformationalExpected Activity として閉じた後、インシデントの 状態解決済みに更新され、 所有者未割り当てに更新され、 終了の理由 が提供されます。

Microsoft Sentinel インシデントのスクリーンショット。

その他のアプリケーション

Sentinel の Microsoft Defender XDR API またはコネクタを使用して、SIEM または ITSM アプリケーション のインシデントを可視化できます。

コネクタを構成すると、フィールド マッピングの実装方法に応じて、Defender エキスパートによるインシデントの 状態割り当て先、 分類および決定 フィールドに対する更新を、サード パーティの SIEM または ITSM アプリケーションと同期できます。 説明するために、 Sentinel から ServiceNow へのコネクタを確認できます。

XDR レポートの Defender Experts を使用してリアルタイムの可視性を取得する

Defender Experts for XDR には、エキスパート アナリストがユーザーに代わって行っている作業の明確な概要、インシデントの状況に関する集計情報、特定のインシデントに関する詳細を示す対話型のオンデマンド レポートが含まれています。 また、サービス配信マネージャー (SDM) はレポートを使用して、毎月のビジネス レビュー中にサービスに関するより多くのコンテキストを提供します。

Defender Experts for XDR レポートのスクリーンショット。

レポートの各セクションは、お客様の環境で専門家が調査および解決したインシデントに関するより多くの分析情報をリアルタイムで提供するように設計されています。 [ 日付 範囲] を選択して、重大度、カテゴリに基づいてインシデントに関する詳細情報を取得し、特定の期間中にインシデントを調査して解決するためにかかった時間を把握することもできます。

Defender Experts for XDR レポートについて

Defender Experts for XDR レポートの最上位セクションには、環境内で解決されたインシデントの割合が表示され、運用の透明性が提供されます。 この割合は、レポートにも表示される次の数値から導き出されます。

  • 調査済み – Microsoft のスコープ内でトリアージ、調査、または現在調査しているインシデント キューからのアクティブな脅威とその他のインシデントの数。
  • 解決済み – 調査されたインシデントの総数が閉じられました。
  • 直接解決 – 調査されたインシデントのうち、お客様に代わって直接終了できたインシデントの数。
  • ヘルプを使用して解決 – 1 つ以上のマネージド応答タスクに対するアクションのために解決された調査済みインシデントの数。

[ インシデントを解決するための平均時間 ] セクションには、環境内のインシデントの調査と終了に専門家が費やした平均時間 (分) と、必要なマネージド応答アクションの実行に費やした平均時間の棒グラフが表示されます。

重大度別インシデントカテゴリ別インシデント、およびサービス ソース別インシデントセクションでは、解決されたインシデントをそれぞれ重大度、攻撃手法、Microsoft セキュリティ サービス ソース別に分類します。 これらのセクションでは、環境内で検出される潜在的な攻撃エントリ ポイントと脅威の種類を特定し、その影響を評価し、それらを軽減および防止するための戦略を開発できます。 [ インシデントの表示 ] を選択すると、2 つのセクションのそれぞれで行った選択に基づいてインシデント キューのフィルター処理されたビューが表示されます。

[ 最も影響を受けた資産 ] セクションには、選択した期間中にインシデントの数が最も多かった環境内のユーザーとデバイスが表示されます。 各資産が関与したインシデントの量を確認できます。 資産を選択して、その資産を含むインシデントに基づいてインシデント キューのフィルター処理されたビューを取得します。

プロアクティブマネージドハンティング

XDR 用 Defender Experts には、 Microsoft Defender Experts for Hunting によって提供されるプロアクティブな脅威ハンティングも含まれています。 Defender Experts for Hunting は、堅牢なセキュリティ オペレーション センターを持っているが、Microsoft が Microsoft Defender データを使用して脅威を事前に検出できるように支援したいお客様向けに作成されました。 このプロアクティブな脅威ハンティング サービスは、エンドポイントを超えて、エンドポイント、Office 365、クラウド アプリケーション、ID を検索します。 当社の専門家は、見つけたものを調査し、修復手順と共にコンテキスト アラート情報を渡して、迅速に対応できるようにします。

要求に応じて高度な脅威の専門知識を要求する

Microsoft Defender XDR ポータル内で [Defender エキスパートに直接質問する] を選択して、すべての脅威の質問に対して迅速かつ正確な回答を得ることができます。 専門家は、組織が直面する可能性がある複雑な脅威をより深く理解するための分析情報を提供できます。 専門家に相談して、次の手順を実行します。

  • 根本原因やスコープなど、アラートとインシデントに関する追加情報を収集します。
  • 疑わしいデバイス、アラート、インシデントを明確にし、高度な攻撃者に直面した場合は次の手順を実行します。
  • アクティビティ グループ、キャンペーン、または新たな攻撃者手法に関連するリスクと使用可能な保護を決定します。

注:

Defender Experts に問い合わせすることは、セキュリティ インシデント対応サービスではありません。 これは、組織に影響を与える複雑な脅威をより深く理解することを目的としています。 セキュリティ インシデント対応チームと連携して、緊急のセキュリティ インシデント対応の問題に対処します。 独自のセキュリティ インシデント対応チームがなく、Microsoft のサポートを希望する場合は、 Premier Services Hub でサポート リクエストを作成します。

[Defender Experts に質問する] オプションは、インシデントとアラートのページで使用でき、特定のインシデントまたはアラートに関するコンテキストに関する質問を行うことができます。

  • [アラート] ページのポップアップ メニュー:

Microsoft Defender ポータルの [アラート] ページポップアップ メニューの [Ask Defender Experts] メニュー オプションのスクリーンショット。

  • [インシデント] ページアクション メニュー:

Microsoft Defender ポータルの [インシデント] ページの [アクション] メニューの [Defender エキスパートに質問する] メニュー オプションの IScreenshot。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。