Microsoft Defender for Endpoint Alerts キューの表示と整理View and organize the Microsoft Defender for Endpoint Alerts queue

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップします。Sign up for a free trial.

アラート キューには 、ネットワーク内のデバイスからフラグが設定されたアラートの一覧が表示されます。The Alerts queue shows a list of alerts that were flagged from devices in your network. 既定では、キューには、グループ化されたビューで過去 30 日間に表示されたアラートが表示されます。By default, the queue displays alerts seen in the last 30 days in a grouped view. 最新のアラートがリストの上部に表示され、最新のアラートを最初に確認できます。The most recent alerts are showed at the top of the list helping you see the most recent alerts first.

注意

自動調査と修復によってアラート キューが大幅に削減され、セキュリティ運用の専門家は、より高度な脅威や他の価値の高いイニシアチブに集中できます。The alerts queue is significantly reduced with automated investigation and remediation, allowing security operations experts to focus on more sophisticated threats and other high value initiatives. サポートされているオペレーティング システムを持つデバイスに、自動調査用のサポートされるエンティティ (ファイルなど) がアラートに含まれている場合、自動調査と修復を開始できます。When an alert contains a supported entity for automated investigation (for example, a file) in a device that has a supported operating system for it, an automated investigation and remediation can start. 自動調査の詳細については、「自動調査の 概要」を参照してくださいFor more information on automated investigations, see Overview of Automated investigations.

アラート キュー ビューをカスタマイズするために選択できるオプションは複数あります。There are several options you can choose from to customize the alerts queue view.

上部のナビゲーションでは、次の操作を実行できます。On the top navigation you can:

  • グループ化されたビューまたはリスト ビューを選択するSelect grouped view or list view
  • 列をカスタマイズして列を追加または削除するCustomize columns to add or remove columns
  • ページごとに表示するアイテムを選択するSelect the items to show per page
  • ページ間の移動Navigate between pages
  • フィルターの適用Apply filters

アラート キューのイメージ

アラート キューの並べ替え、フィルター処理、およびグループ化Sort, filter, and group the alerts queue

次のフィルターを適用して、アラートの一覧を制限し、より集中してアラートを表示できます。You can apply the following filters to limit the list of alerts and get a more focused view the alerts.

重要度Severity

アラートの重大度Alert severity 説明Description
High
(赤)(Red)
高度な永続的な脅威 (APT) に関連付けられている一般的なアラート。Alerts commonly seen associated with advanced persistent threats (APT). これらのアラートは、デバイスに与える損害の重大度が高いので、高いリスクを示します。These alerts indicate a high risk because of the severity of damage they can inflict on devices. 例として、資格情報の盗難ツールアクティビティ、グループに関連付けされていないランサムウェア アクティビティ、セキュリティ センサーの改ざん、または人間の敵を示す悪意のあるアクティビティがあります。Some examples are: credential theft tools activities, ransomware activities not associated with any group, tampering with security sensors, or any malicious activities indicative of a human adversary.
Medium
(オレンジ)(Orange)
高度な永続的脅威 (APT) の一部である可能性がある侵害後の動作に対するエンドポイント検出と応答からのアラート。Alerts from endpoint detection and response post-breach behaviors that might be a part of an advanced persistent threat (APT). これには、攻撃段階に典型的な観察された動作、異常なレジストリの変更、疑わしいファイルの実行などがあります。This includes observed behaviors typical of attack stages, anomalous registry change, execution of suspicious files, and so forth. 一部は内部セキュリティ テストの一部ですが、高度な攻撃の一部である可能性も考え、調査が必要です。Although some might be part of internal security testing, it requires investigation as it might also be a part of an advanced attack.
Low
(黄色)(Yellow)
一般的なマルウェアに関連する脅威に関するアラート。Alerts on threats associated with prevalent malware. たとえば、ハッキング ツール、マルウェア以外のハッキング ツール (探索コマンドの実行、ログのクリアなど) は、組織を対象とする高度な脅威を示す場合が多くはありません。For example, hack-tools, non-malware hack tools, such as running exploration commands, clearing logs, etc., that often do not indicate an advanced threat targeting the organization. また、組織内のユーザーによる分離されたセキュリティ ツールのテストから行う場合があります。It could also come from an isolated security tool testing by a user in your organization.
InformationalInformational
(灰色)(Grey)
ネットワークに悪影響を及ぼすとは見なされない可能性があるが、潜在的なセキュリティ問題に関する組織のセキュリティ認識を推進する可能性があるアラート。Alerts that might not be considered harmful to the network but can drive organizational security awareness on potential security issues.

アラートの重大度についてUnderstanding alert severity

Microsoft Defender ウイルス対策 (Microsoft Defender AV) と Defender for Endpoint アラートの重大度は、スコープが異なっているので異なります。Microsoft Defender Antivirus (Microsoft Defender AV) and Defender for Endpoint alert severities are different because they represent different scopes.

Microsoft Defender AV の脅威の重大度は、検出された脅威 (マルウェア) の絶対重大度を表し、感染した場合に個々のデバイスに潜在的なリスクに基づいて割り当てられます。The Microsoft Defender AV threat severity represents the absolute severity of the detected threat (malware), and is assigned based on the potential risk to the individual device, if infected.

Defender for Endpoint アラートの重大度は、検出された動作の重大度、デバイスに対する実際のリスクを表しますが、さらに重要なのは、組織に対する潜在的なリスクです。The Defender for Endpoint alert severity represents the severity of the detected behavior, the actual risk to the device but more importantly the potential risk to the organization.

したがって、次に例を示します。So, for example:

  • Microsoft Defender AV に関する Defender for Endpoint アラートの重大度は、完全に防止され、デバイスに感染しなかった脅威を検出しました。実際の被害はなかったため、「Informational」に分類されます。The severity of a Defender for Endpoint alert about a Microsoft Defender AV detected threat that was completely prevented and did not infect the device is categorized as "Informational" because there was no actual damage.
  • 実行中に商用マルウェアに関する警告が検出されましたが、Microsoft Defender AV によってブロックされ、修復されましたが、個々のデバイスに何らかの損害を与えた可能性がありますが、組織上の脅威を与えないので、"低" に分類されます。An alert about a commercial malware was detected while executing, but blocked and remediated by Microsoft Defender AV, is categorized as "Low" because it may have caused some damage to the individual device but poses no organizational threat.
  • 個々のデバイスだけでなく、組織に脅威を与える可能性がある実行中に検出されたマルウェアに関するアラートは、最終的にブロックされた場合に関係なく、「中」または「高」とランク付けされる可能性があります。An alert about malware detected while executing which can pose a threat not only to the individual device but to the organization, regardless if it was eventually blocked, may be ranked as "Medium" or "High".
  • ブロックまたは修復された疑わしい行動アラートは、同じ組織の脅威に関する考慮事項に従って、"低"、"中"、または "高" にランク付けされます。Suspicious behavioral alerts, which weren't blocked or remediated will be ranked "Low", "Medium" or "High" following the same organizational threat considerations.

アラート カテゴリについてUnderstanding alert categories

アラート カテゴリを再定義し、MITRE ATTおよび CK マトリックスのエンタープライズ攻撃&しました。 We've redefined the alert categories to align to the enterprise attack tactics in the MITRE ATT&CK matrix. 新しいカテゴリ名は、すべての新しいアラートに適用されます。New category names apply to all new alerts. 既存のアラートは、以前のカテゴリ名を保持します。Existing alerts will keep the previous category names.

次の表に、現在のカテゴリと、そのカテゴリが以前のカテゴリに一般的にマップされる方法を示します。The table below lists the current categories and how they generally map to previous categories.

新しいカテゴリNew category API カテゴリ名API category name 検出された脅威のアクティビティまたはコンポーネントDetected threat activity or component
CollectionCollection CollectionCollection エクスフィルトレーション用のデータの検索と収集Locating and collecting data for exfiltration
コマンドとコントロールCommand and control CommandAndControlCommandAndControl 攻撃者が制御するネットワーク インフラストラクチャに接続してデータを中継したり、コマンドを受信したりするConnecting to attacker-controlled network infrastructure to relay data or receive commands
資格情報へのアクセスCredential access CredentialAccessCredentialAccess ネットワーク内のデバイスや他のリソースに対する制御を拡張するための有効な資格情報の取得Obtaining valid credentials to extend control over devices and other resources in the network
防御回避Defense evasion DefenseEvasionDefenseEvasion たとえば、セキュリティ アプリのオフ、インプラントの削除、ルートキットの実行によるセキュリティ制御の回避Avoiding security controls by, for example, turning off security apps, deleting implants, and running rootkits
DiscoveryDiscovery DiscoveryDiscovery 管理者コンピューター、ドメイン コントローラー、ファイル サーバーなどの重要なデバイスとリソースに関する情報の収集Gathering information about important devices and resources, such as administrator computers, domain controllers, and file servers
実行Execution 実行Execution 攻撃者ツールと悪意のあるコード (RAT やバックドアを含む) の起動Launching attacker tools and malicious code, including RATs and backdoors
ExfiltrationExfiltration ExfiltrationExfiltration ネットワークから外部の攻撃者が制御する場所へのデータの抽出Extracting data from the network to an external, attacker-controlled location
ExploitExploit ExploitExploit コードの悪用と悪用の可能性のあるアクティビティExploit code and possible exploitation activity
初期アクセスInitial access InitialAccessInitialAccess ターゲット ネットワークへの最初のエントリを取得する (通常はパスワード推測、悪用、フィッシングメールを含む)Gaining initial entry to the target network, usually involving password-guessing, exploits, or phishing emails
横方向の動きLateral movement LateralMovementLateralMovement ターゲット ネットワーク内のデバイス間を移動して重要なリソースに到達するか、ネットワークの永続性を得るMoving between devices in the target network to reach critical resources or gain network persistence
マルウェアMalware マルウェアMalware バックドア、トロイの木馬、その他の種類の悪意のあるコードBackdoors, trojans, and other types of malicious code
永続性Persistence 永続性Persistence 自動起動機能拡張ポイント (ASEPs) を作成してアクティブな状態を維持し、システムの再起動を維持するCreating autostart extensibility points (ASEPs) to remain active and survive system restarts
特権のエスカレーションPrivilege escalation PrivilegeEscalationPrivilegeEscalation 特権プロセスまたはアカウントのコンテキストでコードを実行して、より高いアクセス許可レベルを取得するObtaining higher permission levels for code by running it in the context of a privileged process or account
ランサムウェアRansomware ランサムウェアRansomware ファイルを暗号化し、支払いを強要してアクセスを復元するマルウェアMalware that encrypts files and extorts payment to restore access
不審なアクティビティSuspicious activity SuspiciousActivitySuspiciousActivity マルウェアアクティビティまたは攻撃の一部である可能性のある非一部のアクティビティAtypical activity that could be malware activity or part of an attack
望ましくないソフトウェアUnwanted software UnwantedSoftwareUnwantedSoftware 生産性とユーザー エクスペリエンスに影響を与える低評価のアプリとアプリ。望ましくない可能性のあるアプリケーションとして検出された (PUA)Low-reputation apps and apps that impact productivity and the user experience; detected as potentially unwanted applications (PUAs)

状態Status

アラートの一覧は、その状態に基づいて制限できます。You can choose to limit the list of alerts based on their status.

調査の状態Investigation state

自動調査の状態に対応します。Corresponds to the automated investigation state.

カテゴリCategory

キューをフィルター処理して、特定の種類の悪意のあるアクティビティを表示できます。You can choose to filter the queue to display specific types of malicious activity.

割り当て先Assigned to

自分に割り当てられているアラートを表示するか、オートメーションを表示するかを選択できます。You can choose between showing alerts that are assigned to you or automation.

検出ソースDetection source

アラート検出をトリガーしたソースを選択します。Select the source that triggered the alert detection. Microsoft Threat Experts プレビュー参加者は、新しい脅威専門家が管理する狩猟サービスから検出をフィルター処理して確認できます。Microsoft Threat Experts preview participants can now filter and see detections from the new threat experts-managed hunting service.

注意

ウイルス対策フィルターは、デバイスが Microsoft Defender ウイルス対策を既定のリアルタイム保護マルウェア対策製品として使用している場合にのみ表示されます。The Antivirus filter will only appear if devices are using Microsoft Defender Antivirus as the default real-time protection antimalware product.

検出ソースDetection source API 値API value
サードパーティ製センサー3rd party sensors ThirdPartySensorsThirdPartySensors
ウイルス対策Antivirus WindowsDefenderAvWindowsDefenderAv
自動調査Automated investigation AutomatedInvestigationAutomatedInvestigation
カスタム検出Custom detection CustomDetectionCustomDetection
カスタム TICustom TI CustomerTICustomerTI
EDREDR WindowsDefenderAtpWindowsDefenderAtp
Microsoft 365 DefenderMicrosoft 365 Defender MTPMTP
Microsoft Defender for Office 365Microsoft Defender for Office 365 OfficeATPOfficeATP
Microsoft 脅威エキスパートMicrosoft Threat Experts ThreatExpertsThreatExperts
SmartScreenSmartScreen WindowsDefenderSmartScreenWindowsDefenderSmartScreen

OS プラットフォームOS platform

調査する OS プラットフォームを選択して、アラート キュー ビューを制限します。Limit the alerts queue view by selecting the OS platform that you're interested in investigating.

デバイス グループDevice group

確認する特定のデバイス グループがある場合は、グループを選択してアラート キュー ビューを制限できます。If you have specific device groups that you're interested in checking, you can select the groups to limit the alerts queue view.

関連する脅威Associated threat

このフィルターを使用して、注目度の高い脅威に関連するアラートに集中します。Use this filter to focus on alerts that are related to high profile threats. 詳細な脅威の一覧については、「Threat analytics」を参照してくださいYou can see the full list of high-profile threats in Threat analytics.