情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

Microsoft Defender for Business のアラート通知から脅威の確認迄の流れ

Microsoft 365
Microsoft Defender for Business
情報屋ヤマグチのタレコミ

どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。

今回の投稿では、Microsoft Defender for Business にて、Windows デバイス上で脅威を検出した場合のアラートの確認方法について、解説していきます。

  1. Windows 上で、脅威が検出されると、アクションセンターに通知が行われます。
    アクションセンターに通知
  2. アラート通知設定で指定したメールアドレスに、アラートメールが届きます。
    ※ アラートについては、4つの重大度で対象の脅威の判定が行われます。
    重大度 説明
    高い 高度な永続的な脅威 (APT) に関連付けられたアラート。デバイスに与える損害の重大度が高いレベルで確認された。 資格情報の盗難ツールアクティビティ、グループに関連付けされていないランサムウェア アクティビティ、セキュリティ センサーの改ざん、または人間の敵を示す悪意のあるアクティビティ等。
    高度な永続的脅威 (APT) 侵害後の動作に対するエンドポイント検出と応答についてのアラート。 攻撃段階に典型的な観察された動作、異常なレジストリの変更、疑わしいファイルの実行等。
    低い 一般的なマルウェアに関連する脅威に関するアラート。 たとえば、ハッキング ツール、マルウェア以外のハッキング ツール (探索コマンドの実行、ログのクリアなど)
    情報 軽微なマルウェアに関するアラート※ ネットワークレベルでの影響が出ない脅威等。

    引用:Microsoft Defender for Endpoint アラート キューを表示して整理する

  3. アラートメールには、インシデント(重大な事件、重大な事件に発展する可能性がある事象)ページのリンクが記載されていますので、アラートされた脅威の詳細が記載されたリンクをクリックします。
    アラートメール
  4. インシデントページへのリンクをクリックすると、検出された脅威の状況と影響を受けたデバイス、インシデントの情報、MITRE ATT&CK の戦術解析状況がタイムラインで表示されます。
    ※ MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)は、米国の非営利組織 MITRE が運営しているサイバー攻撃の戦術や技術に関するフレームワーク・ナレッジベースを元にした脅威への戦術分析機能です。
    インシデントページ
  5. 「アラート」タブをクリックすると、インシデント内のアラートが一覧として、表示されます。
  6. アラートタイトルをクリックします。
    アラートタイトル
  7. 画面中央に①アラートストーリーが表示(自動調査完了後)され、画面の右側に② アラートの概要、アラートの説明、アラートに対して、一般的に行うべき対応が記載されています。
     画面中央に①アラートストーリー
    ※ 対象の脅威が調査途中の場合には、アラートストーリーは、表示されませんので、調査が完了するのをお待ちください。
     アラートの概要、アラートの説明、アラート
  8. アラートストーリーは、①アラートタイトル、②脅威レベル、検出状況、対応状況、③アラートに至るまでに行われたデバイス上での動作を確認することができます。
    • ・重大度 : 高・中・低・情報、の4段階で表現されで、対象のアラートの脅威レベルを表します。
    • ・検出状態 : 検出されたアラートに対しての、自動調査や対処状況を表し、検出、防止、禁止、失敗等で状況が提示されます。
    • ・アラート状態 : アラートに対しての対象状況を表し、新規、進行中、解決済みで提示されます。アラート状態については、管理者側で手動で状態を管理することもできます。
    アラートの概要、アラートの説明、アラート
  9. アラート直前の③の対象の⇩をクリックすることで、アラートの原因となったファイルや通信(IP・URL)等を確認できます。確認したファイルや通信が組織的に許可するべき対象の場合には、カスタムインジケーターの設定等を利用して、脅威検出の対象外とします。
    アラート直前の③の対象
  10. アラートの概要ページの自動調査の項目の「調査IDのリンク」をクリックすることで、対象アラートの調査状況を詳細に確認することができます。
    アラートの概要ページ
  11. 調査 ID をクリックすると、調査概要と調査グラフが表示され、調査状況のタイムラインとそれぞれの対象の関係性が表示されます。

    調査結果が、「失敗」となっている場合には、リモートアクションで、ネットワーク通信の切断、自動調査の再実行等を行います。

    調査結果
  12. 「証拠」タブでは、アラート対象と判定された対象のファイル、通信(IP、URL)等が表示され、対象への判定状況や修復状況等が確認できます。
    証拠
  13. 「ログ」タブでは、自動調査の対象となったファイルの調査結果や対応状況を確認できます。
    ログ
関連キーワード

山口 泰志(やまぐち たいし)氏

※ 本投稿は、ソフクリ365倶楽部のTeams投稿した内容を再編したものです。 ソフクリ365倶楽部は こちら

■著者紹介■

山口 泰志(やまぐち たいし) 氏
埼玉県在住 出身: 福岡県だが、育ちは佐賀県

中小Sier、フリーランスエンジニア、大規模Sier等での経験を経て、2016年にソフトクリエイトに入社、AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、自らMicrosoft 365 サービスの企画、立上げ後、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導入を主導。

現在、Microsoft 365を中心としたテクノロジーをソフクリ365倶楽部で発信しながら、グループ全体のMicrosoft テクノロジーにて主導的な役割を担う。

趣味は、登山、ロードバイクを中心にアクティブ。しっかり考えて、やるべきことは、直ぐにやるがmotto。

山口をもっと知りたい!方は こちら