自動調査および修復機能の自動化レベルAutomation levels in automated investigation and remediation capabilities

適用対象:Applies to:

Microsoft Defender for Endpoint の自動調査および修復 (AIR) 機能は、いくつかのレベルの自動化に構成できます。Automated investigation and remediation (AIR) capabilities in Microsoft Defender for Endpoint can be configured to one of several levels of automation. 自動化レベルは、AIR 調査後の修復アクションが自動的に実行されるのか、承認時にのみ実行されるのかに影響します。Your automation level affects whether remediation actions following AIR investigations are taken automatically or only upon approval.

  • 完全な自動化 (推奨) は、悪意のあると判断されたアーティファクトに対して修復アクションが自動的に実行されます。Full automation (recommended) means remediation actions are taken automatically on artifacts determined to be malicious.
  • 半自動化とは、 一部の修復アクションが自動的に実行されますが、他の修復アクションは承認を待って実行される前に行われます。Semi-automation means some remediation actions are taken automatically, but other remediation actions await approval before being taken. (「オートメーションのレベル」 の表を参照してください。(See the table in Levels of automation.)
  • 保留中か完了かの修復アクションはすべて、アクション センター ( ) で追跡されます https://securitycenter.windows.comAll remediation actions, whether pending or completed, are tracked in the Action Center (https://securitycenter.windows.com).

ヒント

最良の結果を得る場合は、AIR を構成するときに完全自動化を 使用することをお勧めしますFor best results, we recommend using full automation when you configure AIR. 過去 1 年間に収集および分析されたデータは、フル オートメーションを使用しているお客様が、低レベルの自動化を使用している顧客よりも 40% 高信頼のマルウェア サンプルが削除されたことを示しています。Data collected and analyzed over the past year shows that customers who are using full automation had 40% more high-confidence malware samples removed than customers who are using lower levels of automation. 完全な自動化は、セキュリティ運用リソースを解放し、戦略的な取り組みにより集中するのに役立ちます。Full automation can help free up your security operations resources to focus more on your strategic initiatives.

オートメーションのレベルLevels of automation

次の表では、オートメーションの各レベルと動作について説明します。The following table describes each level of automation and how it works.

オートメーション レベルAutomation level 説明Description
完全 - 脅威を自動的に修復するFull - remediate threats automatically
(フル オートメーションとも 呼ばれます)(also referred to as full automation)
完全な自動化により、修復アクションは自動的に実行されます。With full automation, remediation actions are performed automatically. 実行される修復アクションはすべて、[履歴] タブの [アクション センター] で 表示 できます。必要に応じて、修復アクションを元に戻すことができます。All remediation actions that are taken can be viewed in the Action Center on the History tab. If necessary, a remediation action can be undone.

完全な自動化は推奨* され、Microsoft Defender for Endpoint で 2020 年 8 月 16 日以降に作成されたテナントでは既定で選択され、デバイス グループがまだ定義されていません。*Full automation is recommended* and is selected by default for tenants that were created on or after August 16, 2020 with Microsoft Defender for Endpoint, with no device groups defined yet.*
Semi - 修復の承認が必要Semi - require approval for any remediation
(セミオートメーション とも呼ばれます)(also referred to as semi-automation)
このレベルのセミオートメーションでは、修復アクションに対して承認 必要です。With this level of semi-automation, approval is required for any remediation action. このような保留中のアクションは、[保留中] タブの [アクション センター] で表示および 承認 できます。Such pending actions can be viewed and approved in the Action Center, on the Pending tab.

このレベルのセミオートメーションは、Microsoft Defender ATP を使用して 2020 年 8 月 16 日より前に作成されたテナントに対して既定で選択され、デバイス グループは定義されていません。This level of semi-automation is selected by default for tenants that were created before August 16, 2020 with Microsoft Defender ATP, with no device groups defined.
Semi - コア フォルダー修復の承認が必要Semi - require approval for core folders remediation
(また、セミオートメーション の一種)(also a type of semi-automation)
このレベルのセミオートメーションでは、コア フォルダー内のファイルまたは実行可能ファイルに必要な修復アクションに対して承認が必要です。With this level of semi-automation, approval is required for any remediation actions needed on files or executables that are in core folders. コア フォルダーには、Windows () などのオペレーティング システム ディレクトリ が含 まれます \windows\*Core folders include operating system directories, such as the Windows (\windows\*).

修復アクションは、他の (コア以外の) フォルダーにあるファイルまたは実行可能ファイルに対して自動的に実行できます。Remediation actions can be taken automatically on files or executables that are in other (non-core) folders.

コア フォルダー内のファイルまたは実行可能ファイルの保留中のアクションは、[保留中] タブの [アクション センター] で表示および 承認 できます。Pending actions for files or executables in core folders can be viewed and approved in the Action Center, on the Pending tab.

他のフォルダーのファイルまたは実行可能ファイルに対して実行されたアクションは、[アクション センター] の [履歴] タブ で表示 できます。Actions that were taken on files or executables in other folders can be viewed in the Action Center, on the History tab.
Semi - 一時フォルダー以外の修復の承認が必要Semi - require approval for non-temp folders remediation
(また、セミオートメーション の一種)(also a type of semi-automation)
このレベルのセミオートメーションでは、一時フォルダーに含まれるファイルまたは実行可能ファイルに必要な修復アクションに対して承認 必要です。With this level of semi-automation, approval is required for any remediation actions needed on files or executables that are not in temporary folders.

一時フォルダーには、次の例を含めできます。Temporary folders can include the following examples:
- \users\*\appdata\local\temp\*
- \documents and settings\*\local settings\temp\*
- \documents and settings\*\local settings\temporary\*
- \windows\temp\*
- \users\*\downloads\*
- \program files\
- \program files (x86)\*
- \documents and settings\*\users\*

修復アクションは、一時フォルダー内のファイルまたは実行可能ファイルに対して自動的に実行できます。Remediation actions can be taken automatically on files or executables that are in temporary folders.

一時フォルダーに含めされていないファイルまたは実行可能ファイルの保留中のアクションは、[保留中] タブの [アクション センター] で表示および 承認 できます。Pending actions for files or executables that are not in temporary folders can be viewed and approved in the Action Center, on the Pending tab.

一時フォルダー内のファイルまたは実行可能ファイルに対して実行されたアクションは、[履歴] タブ の [アクション センター] で表示および 承認 できます。Actions that were taken on files or executables in temporary folders can be viewed and approved in the Action Center, on the History tab.
自動応答なしNo automated response
(オートメーションなしとも 呼ばれます)(also referred to as no automation)
自動化を行う必要がない場合、組織のデバイスでは自動調査は実行されません。With no automation, automated investigation does not run on your organization's devices. その結果、自動調査の結果として修復アクションや保留中は実行されません。As a result, no remediation actions are taken or pending as a result of automated investigation. ただし、ウイルス対策機能と次世代保護機能の構成方法によっては、望ましくない可能性のあるアプリケーションからの保護など、他の脅威保護機能が有効になる場合があります。However, other threat protection features, such as protection from potentially unwanted applications, can be in effect, depending on how your antivirus and next-generation protection features are configured.

*組織の デバイスの セキュリティ 体制が低下しますので、自動化なしオプションの使用は推奨されません。*Using the no automation option is not recommended, because it reduces the security posture of your organization's devices. オートメーション レベルを完全オートメーション (または少なくとも半オートメーション) *に設定する場合を検討してください。Consider setting up your automation level to full automation (or at least semi-automation)*.

オートメーション レベルに関する重要な点Important points about automation levels

  • 完全な自動化は、信頼性、効率、および安全であることが証明され、すべてのお客様にお勧めします。Full automation has proven to be reliable, efficient, and safe, and is recommended for all customers. 完全な自動化により、重要なセキュリティ リソースが解放されますので、戦略的な取り組みにより重点的に取り組む必要があります。Full automation frees up your critical security resources so they can focus more on your strategic initiatives.

  • Microsoft Defender for Endpoint を使用して新しいテナント (2020 年 8 月 16 日以降に作成されたテナントを含む) は、既定で完全自動化に設定されます。New tenants (which include tenants that were created on or after August 16, 2020) with Microsoft Defender for Endpoint are set to full automation by default.

  • セキュリティ チームが自動化レベルでデバイス グループを定義している場合、これらの設定は、展開される新しい既定の設定では変更されません。If your security team has defined device groups with a level of automation, those settings are not changed by the new default settings that are rolling out.

  • 既定のオートメーション設定を維持するか、組織のニーズに応じて変更できます。You can keep your default automation settings, or change them according to your organizational needs. 設定を変更するには、 オートメーションのレベルを設定しますTo change your settings, set your level of automation.

次の手順Next steps