自動調査後の修復アクションを確認する

適用対象:

修復アクション

自動調査が実行されると、調査対象の証拠ごとに判定が生成されます。 判定は、悪意のある疑わしい、または脅威なしのいずれかです。

脅威の種類、

修復アクションは自動的に発生するか、組織のセキュリティ オペレーション チームの承認時に行われます。

注:

デバイス グループの作成は、Defender for Endpoint プラン 1 とプラン 2 でサポートされています。

いくつかの例を示します。

  • 例 1: Fabrikam のデバイス グループは [完全 - 脅威を自動的に修復する] (推奨設定) に設定されています。 この場合、自動調査の後に悪意があると見なされるアーティファクトに対して修復アクションが自動的に実行されます (「完了したアクションの確認」を参照してください)。

  • 例 2: Contoso のデバイスは、[準 - あらゆる修復に承認が必要] に設定されているデバイス グループに含まれています。 この場合、Contoso のセキュリティ運用チームは、自動調査の後、すべての修復アクションを確認して承認する必要があります (「保留中のアクションの確認」を参照してください)。

  • 例 3: Tailspin Toys では、デバイス グループが [自動対応なし] に設定されています (推奨されません)。 この場合、自動調査は行われません。 修復アクションが実行されたり保留中になったり、デバイスの [アクション センター] にアクションが記録されることはありません (「デバイス グループの管理」を参照してください)。

自動的に実行される場合も、承認時に行われた場合でも、自動調査と修復によって、1 つ以上の修復アクションが発生する可能性があります。

  • ファイルの検疫
  • レジストリ キーの削除
  • プロセスの強制終了
  • サービスの停止
  • ドライバーの無効化
  • スケジュールされたタスクの削除

保留中のアクションを確認する

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. ナビゲーション ウィンドウで、[アクション センター] を選択します。

  3. [保留中] タブの項目を確認します。

  4. アクションを選択してポップアップ ウィンドウを開きます。

  5. ポップアップ ウィンドウで情報を確認し、次のいずれかの手順を実行します:

    • [調査ページを開く] を選択して、調査に関する詳細情報を表示します。
    • [承認する] を選択して、保留中のアクションを開始します。
    • [拒否する] を選択して、保留中のアクションが実行されないようにします。
    • [追求する] を選択して [高度な追求] に移動します。

修復アクションの承認または拒否

修復状態が承認待ちのインシデントの場合は、インシデント内から修復アクションを承認または拒否することもできます。

  1. ナビゲーション ウィンドウで、[インシデント] & [アラート> インシデント] に移動します
  2. 自動調査状態の保留中アクションをフィルター処理します (省略可能)。
  3. インシデント名を選択してサマリー ページを開きます。
  4. [証拠と応答] タブを選択します。
  5. リストから項目を選択して、ポップアップ ウィンドウを開きます。
  6. 情報を確認し、次のいずれかの手順を実行します:
    • 保留中のアクションを開始するには、[保留中のアクションの承認] オプションを選択します。
    • 保留中のアクションが実行されないようにするには、[保留中のアクションを拒否する] オプションを選択します。

Microsoft Defender ポータルのインシデントの [証拠と応答] 管理ウィンドウの [承認]\[拒否] オプション

完了した処理を確認する

  1. Microsoft Defender ポータルに移動し、サインインします。

  2. ナビゲーション ウィンドウで、[アクション センター] を選択します。

  3. [履歴] タブの項目を確認します。

  4. 項目を選択すると、その修復アクションの詳細が表示されます。

完了したアクションを元に戻す

デバイスまたはファイルが脅威でないと判断した場合は、それらのアクションが自動的に実行されたか手動で実行されたかに関係なく、実行された修復アクションを元に戻すことができます。 [アクション センター] の [履歴] タブでは、次のいずれかの操作を元に戻すことができます。

アクション ソース サポートされているアクション
  • 自動調査
  • 手動対応アクション (以下の注を参照)
  • Microsoft Defender ウイルス対策
  • ドライバーの無効化
  • デバイスの分離
  • ファイルの検疫
  • レジストリ キーの削除
  • スケジュールされたタスクの削除
  • コードの実行制限
  • サービスの停止

注:

Defender for Endpoint Plan 1Microsoft Defender for Business には、次の手動対応アクションのみが含まれます:

  • ウイルス対策スキャンの実行
  • デバイスの分離
  • ファイルの停止と検疫。
  • ファイルのブロックまたは許可するインジケーターの追加

複数のアクションを一度に元に戻す

  1. [アクション センター] (https://security.microsoft.com/action-center) に移動してサインインします。

  2. [履歴] タブで、元に戻す処理を選択します。 必ず、同じアクションの種類を持つ項目を選択してください。 ポップアップ ウィンドウが開きます。

  3. ポップアップ ウィンドウで [元に戻す] を選択します。

複数のデバイスで検疫からファイルを削除するには

  1. [アクション センター] (https://security.microsoft.com/action-center) に移動してサインインします。

  2. [履歴] タブで、アクションの種類が [検疫ファイル] のファイルを選択します。

  3. ポップアップ ウィンドウで、[このファイルの X 個のインスタンスに適用] を選択し、[元に戻す] を選択します。

オートメーション レベル、自動調査の結果、結果のアクション

オートメーション レベルは、特定の修復アクションが自動的に実行されるか、承認時にのみ実行されるかに影響します。 自動調査の結果により、セキュリティ オペレーション チームにはより多くの手段が実行できる場合があります。 次の表は、オートメーション レベル、自動調査の結果、および各ケースでの対処方法をまとめたものです。

デバイス グループの設定 自動調査の結果 操作
[完全 - 自動的な脅威の修正]
(推奨)
証拠の一部について、悪意ありという判定に達しました。

適切な修復アクションが自動的に実行されます

完了した処理を確認する
[準 - すべての修復に承認が必要] 証拠の一部について 悪意ありまたは疑わしいの判定に達しました。

修復アクションが続行承認待ちです。

保留中のアクションを承認 (または拒否) する
[準 - コア フォルダーの修復に承認が必要] 証拠の一部について、悪意ありという判定に達しました。

アーティファクトがファイルまたは実行可能ファイルであり、Windows フォルダーや Program files フォルダーなどのオペレーティング システム ディレクトリにある場合、修復アクションは承認待ちになります。

アーティファクトがオペレーティング システム ディレクトリにない場合は、修復アクションが自動的に実行されます。

  1. 保留中のアクションを承認 (または拒否) する
  2. 完了した処理を確認する
[準 - コア フォルダーの修復に承認が必要] 証拠の一部について疑わしいという判定に達しました。

推奨される修復アクションが承認待ちです。

保留中のアクションを承認 (または拒否) する
[準 - 一時フォルダー以外の修復に承認が必要] 証拠の一部について、悪意ありという判定に達しました。

アーティファクトが、ユーザーのダウンロード フォルダーや一時フォルダーなど、一時フォルダーにないファイルまたは実行可能ファイルである場合、修復アクションは承認待ちになります。

アーティファクトが一時フォルダー内にあるファイルまたは実行可能ファイルである場合、修復アクションが自動的に実行されます。

  1. 保留中のアクションを承認 (または拒否) する
  2. 完了した処理を確認する
[準 - 一時フォルダー以外の修復に承認が必要] 証拠の一部について疑わしいという判定に達しました。

推奨される修復アクションが承認待ちです。

保留中のアクションを承認 (または拒否) する
完全またはのいずれかのオートメーション レベル 証拠の一部について、脅威が見つからないという判定に達しました。

修復アクションは実行されず、承認待ちのアクションもありません。

自動調査の詳細と結果を表示する
自動対応なし (推奨されません) 自動調査は実行されないため、判定に達せず、修復アクションが実行されたり、承認待ちになったりすることはありません。 完全オートメーションまたはオートメーションを使用するようにデバイス グループを設定または 変更することを検討してください

すべての判定は [アクション センター] で追跡されます。

注:

Defender for Business では、自動調査と修復機能が事前設定されており、[完全 - 脅威を自動的に修復] を使用します。 これらの機能は、既定ですべてのデバイスに適用されます。

次の手順

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。