アラートを管理および調査する

  • 10 分

調査アラートを管理する

アラートを管理するには、[アラート] キューか、個々のデバイスの [デバイス] ページの [アラート] タブで、アラートを選択します。 いずれかの場所からアラートを選択すると、[Alert management pane (アラート管理ウィンドウ)] が表示されます。

Screenshot of the Microsoft Defender XDR Alerts Queue page.

アラートの管理

アラートのプレビューまたはアラートの詳細ページに関するメタデータを表示および設定できます。

Screenshot of the Microsoft Defender XDR Alert details page.

メタデータ フィールドおよびアクションには以下の情報が含まれます。

重大度

  • 高 (赤) - APT (持続的標的型攻撃) に関連してよく見られるアラート。 これらのアラートは、デバイスに及ぼしうる損害の重大度の大きさから、危険度が高いことを示しています。 たとえば、資格情報の盗用ツールのアクティビティ、どのグループにも関連付けられていないランサムウェアのアクティビティ、セキュリティ センサーの改ざん、人間の敵対者を暗示する悪意のあるアクティビティなどがあります。

  • 中 (オレンジ) - APT (持続的標的型攻撃) の一部である可能性がある、エンドポイントの検出と応答の侵害発生後の動作からのアラート。 これには、攻撃段階、レジストリの異常な変更、疑わしいファイルの実行などについて一般的に観察される動作が含まれます。 内部的なセキュリティ テストの一部である場合もありますが、持続的攻撃の一部である可能性もあるため調査が必要です。

  • 低 (黄) - 一般的なマルウェアに関連付けられる脅威に関するアラート。 たとえば、探索コマンドの実行やログの消去などのハッキングツールや非マルウェア ハッキングツールは、多くの場合、組織を標的とした持続的脅威を示しているわけではありません。 また、組織内のユーザーによる単独のセキュリティ ツール テストが原因の場合もあります。

  • 情報 (灰色) - ネットワークに有害だと考えられないかもしれないが、潜在的なセキュリティの問題について組織のセキュリティ意識を喚起する可能性があるアラート。

Microsoft Defender Antivirus (Microsoft Defender AV) と Defender for Endpoint のアラートの重大度は、スコープが異なるため同じではありません。 Microsoft Defender AV の脅威の重大度は、検出された脅威 (マルウェア) の絶対的な重大度を表し、仮に感染した場合の個々のデバイスに対する潜在的なリスクに基づいて割り当てられます。

Defender for Endpoint アラートの重大度は、検出された動作の重大度、デバイスに対する実際のリスク、および最も重要である組織に対するリスクを表します。

以下に例を示します。

  • Microsoft Defender AV で検出された脅威であるが、阻止され、デバイスに感染しなかったものについての Defender for Endpoint アラートの重大度は、"情報" に分類されます。これは、実際の損害がなかったためです。

  • 実行中に検出された商用マルウェアに関するアラートが、Microsoft Defender AV によってブロックおよび修復された場合、"低" に分類されます。これは、個々のデバイスに何らかの損害を与えたかもしれないが、組織に脅威が発生していないためです。

  • 実行中に検出されたマルウェアに関するアラートにより、個々のデバイスだけでなく、組織に脅威が発生した場合、最終的にブロックされたかどうかに関係なく、アラートは "中" または "高" として優先度付けされることがあります。

  • ブロックも修復もされていない疑わしい動作のアラートは、組織の脅威に関する同様の考慮事項に従って、"低"、"中" または "高" として優先度付けされます。

Categories

アラートのカテゴリは、MITRE ATT&CK Enterprise マトリックスに記載されている攻撃の戦術および手法と緊密に連携しています。

Note

アラートのカテゴリには、ATT&CK マトリックスにない項目 (Unwanted Software など) も含まれています。

カテゴリは次のとおりです。

  • コレクション - 流出対象のデータの検索と収集

  • コマンドとコントロール - データをリレーしたりコマンドを受信したりするための、攻撃者によって制御されるネットワーク インフラストラクチャへの接続

  • 資格情報のアクセス - ネットワーク内のデバイスおよびその他のリソースに制御を拡張するための有効な資格情報の取得

  • 防御回避 - セキュリティ アプリの無効化、埋め込み機能の削除、ルートキットの実行などによるセキュリティ制御の回避

  • 検出 - 管理者コンピューター、ドメイン コントローラー、ファイル サーバーなどの重要なデバイスとリソースに関する情報の収集

  • 実行 - RAT やバックドアなどの攻撃者ツールおよび悪意のあるコードの起動

  • 流出 - ネットワークから、攻撃者によって制御された外部の場所へのデータの抽出

  • 悪用 - コードの悪用および考えられる悪用アクティビティ

  • 初期アクセス - ターゲット ネットワークへの最初のエントリの取得 (通常はパスワードの推測、悪用、またはフィッシング詐欺メールを含む)

  • 横移動 - 重要なリソースに到達したりネットワークの永続化を獲得したりするための、ターゲット ネットワーク内のデバイス間での移動

  • マルウェア - バックドア、トロイの木馬、およびその他の種類の悪意のあるコード

  • 永続化 - アクティブな状態を維持し、システムの再起動後も存続するための、自動開始拡張ポイント (ASEP) の作成

  • 特権エスカレーション - 特権のあるプロセスまたはアカウントのコンテキストでコードを実行することによる、コードに対する高いアクセス許可レベルの取得

  • ランサムウェア - ファイルを暗号化し、アクセスを復元するために支払いを強要するマルウェア

  • 不審なアクティビティ - マルウェア アクティビティまたは攻撃の一部のおそれがある特殊なアクティビティ

  • 望ましくないソフトウェア - 低評価のアプリおよび生産性とユーザー エクスペリエンスに悪影響を及ぼすアプリ。望ましくない可能性のあるアプリケーション (PUA) として検出される

アラートから新しいインシデントを作成したり、既存のインシデントにリンクしたりすることができます。

アラートの割り当て

アラートがまだ割り当てられていない場合は、[自分への割り当て] を選択して、アラートを自分自身に割り当てることができます。

Suppress alerts (アラートの抑制)

Microsoft Defender セキュリティ センターにアラートが表示されないようにすることが必要な場合もあります。 Defender for Endpoint では、組織内の既知のツールやプロセスなど、無害であることがわかっている特定のアラートに抑制ルールを作成できます。

抑制ルールは既存のアラートから作成できます。 ルールを無効にしてから、必要に応じて再び有効にできます。

抑制ルールが作成されると、作成されたその時点から反映されます。 ルールは、ルールの作成前にキューに既に置かれている既存のアラートには影響しません。 ルールは、ルールの作成後に設定された条件を満たすアラートにのみ適用されます。

抑制ルールに選ぶことができる 2 つのコンテキストがあります。

  • このデバイスのアラートを表示しない

  • 組織のアラートを抑制する

ルールのコンテキストによりポータルに表示される内容を調整したり、実際のセキュリティ アラートのみがポータルに表示されるようにできます。

アラートの状態を変更する

調査の進行に応じてアラートの状態を変更して、アラートを新規、進行中、または解決済みに分類することができます。 これにより、チームによるアラートへの対応を、整理して管理することができます。

たとえば、チーム リーダーはすべての新規アラートを確認でき、それを進行中に割り当てて、さらに分析することを決定できます。

または、アラートが無関係なデバイス (セキュリティ管理者に属しているデバイスなど) から発生しているため有害でないか、以前のアラートによって処理されていることがわかっている場合、チーム リーダーはアラートを解決済みのキューに割り当てることもあります。

アラートの分類

分類を設定しないようにしたり、アラートが真のアラートか偽のアラートかを指定したりすることもできます。 真陽性/偽陽性の分類を指定することは、アラートの品質を監視しアラートの精度を高めるために使用されるため重要です。 "決定" フィールドは、"真陽性" 分類のための追加の忠実性を定義します。

コメントの追加とアラートの履歴の表示

コメントを追加したり、アラートについてのイベントの履歴を表示して、以前にアラートに行われた変更を確認することができます。 アラートが変更されたり、コメントが追加されると、[コメントおよび履歴] セクションに記録されます。 追加されたコメントは、直ちにウィンドウに表示されます。

アラートの調査

ネットワークに影響を与えているアラートを調査し、そのアラートの意味とその解決方法を把握します。

アラート キューからアラートを選択して、アラート ページにアクセスします。 このビューには、アラートのタイトル、影響を受けた資産、詳細サイド ペイン、およびアラート ストーリーが表示されます。

アラート ページで、影響を受けた資産またはアラート ストーリーのツリー ビューのいずれかのエンティティを選択して、調査を開始します。 詳細ペインには、選択した内容に関する詳細情報が自動的に入力されます。

アラート ストーリーを使用して調査する

アラート ストーリーには、アラートがトリガーされた理由、前後に発生した関連イベント、およびその他の関連エンティティの詳細が表示されます。

エンティティはクリック可能であり、アラートではないすべてのエンティティは、そのエンティティのカードの右側にある展開アイコンを使用して展開できます。 フォーカスされているエンティティには、そのエンティティのカードの左側に青いストライプが示され、タイトル内のアラートが最初にフォーカスされます。

エンティティを選ぶと、詳細ペインのコンテキストがこのエンティティに切り替わり、詳細情報を確認してエンティティを管理することができます。 エンティティ カードの右側にある [...] を選ぶと、そのエンティティで使用できるすべてのアクションが表示されます。 そのエンティティがフォーカスされているとき、これらの同じアクションが詳細ペインに表示されます。

詳細ペインからアクションを実行する

目的のエンティティを選ぶと詳細ペインが変わり、選んだエンティティの種類に関する情報、(使用できる場合は) 履歴情報が表示されます。また、アラート ページから直接このエンティティに対してアクションを起こすコントロールが用意されています。

調査が完了したら、開始したアラートに戻り、アラートの状態を解決済みとしてマークし、偽のアラートまたは真のアラートとして分類します。 アラートの分類を使用すると、この機能を調整して、真のアラートを増やし、偽のアラートを減らすことができます。

これを真のアラートとして分類する場合は、決定を選択することもできます。

基幹業務アプリケーションで偽のアラートが発生している場合は、今後この種類のアラートを回避するための抑制ルールを作成します。