次の方法で共有


Microsoft Defender for Endpoint でアラートを調査する

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ネットワークに影響を与えるアラートを調査し、その意味と解決方法を理解します。

アラート キューからアラートを選択して、アラート ページに移動します。 このビューには、アラート タイトル、影響を受ける資産、詳細サイド ウィンドウ、アラート ストーリーが含まれます。

アラート ページから、影響を受ける資産またはアラート ストーリー ツリー ビューの下にあるエンティティのいずれかを選択して調査を開始します。 詳細ウィンドウには、選択した内容に関する詳細情報が自動的に設定されます。 ここで表示できる情報の種類を確認するには、「Microsoft Defender for Endpointでのアラートの確認」を参照してください。

アラート ストーリーを使用して調査する

アラート ストーリーでは、アラートがトリガーされた理由、前後に発生した関連イベント、およびその他の関連エンティティについて詳しく説明します。

エンティティはクリック可能であり、アラートではないすべてのエンティティは、そのエンティティのカードの右側にある展開アイコンを使用して展開できます。 フォーカスのあるエンティティは、そのエンティティのカードの左側に青いストライプで示され、タイトルのアラートは最初にフォーカスされます。

エンティティを展開すると、詳細が一目で表示されます。 エンティティを選択すると、詳細ウィンドウのコンテキストがこのエンティティに切り替わるので、詳細情報を確認したり、そのエンティティを管理したりできます。 エンティティの右側にある [...] を選択カード、そのエンティティで使用できるすべてのアクションが表示されます。 これらの同じアクションは、そのエンティティにフォーカスがあるときに詳細ウィンドウに表示されます。

注:

アラート ストーリー セクションには複数のアラートが含まれている場合があり、同じ実行ツリーに関連する追加のアラートは、選択したアラートの前後に表示されます。

アラートに焦点を当てたアラート ストーリーと、一部の拡張されたカード

アラート タイムラインを使用して調査する

アラート タイムラインは、ユーザーに各アラートに関する包括的な観点を提供することで、既存の "プロセス ツリー" ビューを補完します。 プロセス ツリーでは、アラートに関連付けられているプロセスとアクティビティの詳細な内訳が提供されますが、アラート タイムラインでは、迅速なトリアージと意思決定を容易にする要約された時系列ビューが表示されます。

詳細ウィンドウからアクションを実行する

関心のあるエンティティを選択すると、詳細ウィンドウが変更され、選択したエンティティの種類に関する情報、使用可能な場合の履歴情報、アラート ページから直接このエンティティに 対してアクションを実行 するためのコントロールが表示されます。

調査が完了したら、開始したアラートに戻り、アラートの状態を 解決済 みとしてマークし、 False アラート または True アラートとして分類します。 アラートを分類すると、この機能を調整して、より真のアラートを提供し、誤ったアラートを減らすことができます。

真のアラートとして分類する場合は、下の図に示すように、決定を選択することもできます。

解決されたアラートと判定ドロップダウンが展開された詳細ペイン

基幹業務アプリケーションで誤ったアラートが発生する場合は、この種類のアラートを今後回避するための抑制ルールを作成します。

抑制ルールが強調表示された詳細ペインのアクションと分類

ヒント

上記以外の問題が発生した場合は、ボタンを使用してフィードバックを 🙂 提供するか、サポート チケットを開きます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。