情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
ワークショップ

Microsoft Defender for Business のアラート通知から脅威の確認迄の流れ

Microsoft 365
Microsoft Defender for Business
情報屋ヤマグチのタレコミ

どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。

今回の投稿では、Microsoft Defender for Business にて、Windows デバイス上で脅威を検出した場合のアラートの確認方法について、解説していきます。

  1. Windows 上で、脅威が検出されると、アクションセンターに通知が行われます。
    アクションセンターに通知
  2. アラート通知設定で指定したメールアドレスに、アラートメールが届きます。
    ※ アラートについては、4つの重大度で対象の脅威の判定が行われます。
    重大度 説明
    高い 高度な永続的な脅威 (APT) に関連付けられたアラート。デバイスに与える損害の重大度が高いレベルで確認された。 資格情報の盗難ツールアクティビティ、グループに関連付けされていないランサムウェア アクティビティ、セキュリティ センサーの改ざん、または人間の敵を示す悪意のあるアクティビティ等。
    高度な永続的脅威 (APT) 侵害後の動作に対するエンドポイント検出と応答についてのアラート。 攻撃段階に典型的な観察された動作、異常なレジストリの変更、疑わしいファイルの実行等。
    低い 一般的なマルウェアに関連する脅威に関するアラート。 たとえば、ハッキング ツール、マルウェア以外のハッキング ツール (探索コマンドの実行、ログのクリアなど)
    情報 軽微なマルウェアに関するアラート※ ネットワークレベルでの影響が出ない脅威等。

    引用:Microsoft Defender for Endpoint アラート キューを表示して整理する

  3. アラートメールには、インシデント(重大な事件、重大な事件に発展する可能性がある事象)ページのリンクが記載されていますので、アラートされた脅威の詳細が記載されたリンクをクリックします。
    アラートメール
  4. インシデントページへのリンクをクリックすると、検出された脅威の状況と影響を受けたデバイス、インシデントの情報、MITRE ATT&CK の戦術解析状況がタイムラインで表示されます。
    ※ MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)は、米国の非営利組織 MITRE が運営しているサイバー攻撃の戦術や技術に関するフレームワーク・ナレッジベースを元にした脅威への戦術分析機能です。
    インシデントページ
  5. 「アラート」タブをクリックすると、インシデント内のアラートが一覧として、表示されます。
  6. アラートタイトルをクリックします。
    アラートタイトル
  7. 画面中央に①アラートストーリーが表示(自動調査完了後)され、画面の右側に② アラートの概要、アラートの説明、アラートに対して、一般的に行うべき対応が記載されています。
     画面中央に①アラートストーリー
    ※ 対象の脅威が調査途中の場合には、アラートストーリーは、表示されませんので、調査が完了するのをお待ちください。
     アラートの概要、アラートの説明、アラート
  8. アラートストーリーは、①アラートタイトル、②脅威レベル、検出状況、対応状況、③アラートに至るまでに行われたデバイス上での動作を確認することができます。
    • ・重大度 : 高・中・低・情報、の4段階で表現されで、対象のアラートの脅威レベルを表します。
    • ・検出状態 : 検出されたアラートに対しての、自動調査や対処状況を表し、検出、防止、禁止、失敗等で状況が提示されます。
    • ・アラート状態 : アラートに対しての対象状況を表し、新規、進行中、解決済みで提示されます。アラート状態については、管理者側で手動で状態を管理することもできます。
    アラートの概要、アラートの説明、アラート
  9. アラート直前の③の対象の⇩をクリックすることで、アラートの原因となったファイルや通信(IP・URL)等を確認できます。確認したファイルや通信が組織的に許可するべき対象の場合には、カスタムインジケーターの設定等を利用して、脅威検出の対象外とします。
    アラート直前の③の対象
  10. アラートの概要ページの自動調査の項目の「調査IDのリンク」をクリックすることで、対象アラートの調査状況を詳細に確認することができます。
    アラートの概要ページ
  11. 調査 ID をクリックすると、調査概要と調査グラフが表示され、調査状況のタイムラインとそれぞれの対象の関係性が表示されます。

    調査結果が、「失敗」となっている場合には、リモートアクションで、ネットワーク通信の切断、自動調査の再実行等を行います。

    調査結果
  12. 「証拠」タブでは、アラート対象と判定された対象のファイル、通信(IP、URL)等が表示され、対象への判定状況や修復状況等が確認できます。
    証拠
  13. 「ログ」タブでは、自動調査の対象となったファイルの調査結果や対応状況を確認できます。
    ログ
関連キーワード
山口 泰志

山口 泰志(やまぐち たいし)

  • 出身:福岡生まれ、佐賀育ち
  • Motto:しっかり考えて、やるべきことは、直ぐにやる!

Microsoft Top Partner Engineer Award 2023年、2024年受賞
弊社グループ全体における Microsoft 365 の技術主導者。
中堅・中小企業様向けには、日々、
Microsoft 365を中心とした技術情報を ソフクリ365倶楽部 で発信。

情報屋ヤマグチをもっと知る!
経歴
~2016年
中⼩SIer、フリーランスエンジニア、⼤規模SIer等での経験を経て、2016年にソフトクリエイトに⼊社しました。
ソフトクリエイト⼊社後
AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、⾃分の発案でMicrosoft 365サービスの企画、⽴上げを⾏った後に、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導⼊を主導しました。
現在
Microsoft 365の技術を中⼼に最新のテクノロジーや使い⽅を内外に発信したり、勉強会・トレーニング講師、新サービス⽴案、⽴上げとかの仕事をしています。
人気記事
趣味
散歩、登⼭、ロードバイク、旅⾏とかで、
外に出かけて、⾝体を動かすものが多いです
最近行って良かった所

この数年は、海外にも行くようになり、各国の文化や風土の違いを感じる経験ができるようになりました。

Seattle
Microsoft本社、ウォーターフロント、ワシントン大学、カロリー増々な食事
台湾
故宮博物院、台北101、九分のジブリ風な街並み、猫村として有名な猴硐(ホウトン)、気球や十分瀑布で有名な十分、各地域の夜市を中心としたグルメ
心掛けていること
現在の世の中では、エンジニアが何かを作れたり、運⽤できたりでは⾜りず、⾊々な視点で、考え、語り、発信できる様になる必要があると考えています。この様な活動のモデルとして、働き⽅と、テクノロジーの両⾯で、お客様、組織をリードできる様な⼈になれるように⽇々チャレンジすることを⼼掛けています。
最後に一言
テレワーク、社内のインフラ運⽤、セキュリティの維持対応、DX、AI等々、組織の情報システム部に求められる役割は、⽇々増⼤しています。この様な、時代の進歩の早い世の中で、皆様と⼀緒に⾼めあったり、課題を解決できるような関係を作っていきたいと考えていますので、どうぞよろしく!
生成AIが解る!!seminar開催中!