自動調査後の修復アクションの確認Review remediation actions following an automated investigation

修復アクションRemediation actions

自動調査 が実行されると 、調査された証拠ごとに評決が生成されます。When an automated investigation runs, a verdict is generated for each piece of evidence investigated. 評決には、悪意のある 、疑わしい、 または検出 された脅威がない可能性がありますVerdicts can be Malicious, Suspicious, or No threats found.

に応じてDepending on

  • 脅威の種類the type of threat,
  • 結果の評決、およびthe resulting verdict, and
  • 組織のデバイス グループ の構成 方法how your organization's device groups are configured,

修復アクションは、自動的に行われるか、組織のセキュリティ運用チームによる承認時にのみ実行されます。remediation actions can occur automatically or only upon approval by your organization’s security operations team.

いくつかの例を示します。Here are a few examples:

  • 例 1: Fabrikam のデバイス グループが Full に設定されている - 脅威を自動的に修復する (推奨される設定)。Example 1: Fabrikam's device groups are set to Full - remediate threats automatically (the recommended setting). この場合、自動調査後に悪意のあると見なされるアーティファクトに対して修復アクションが自動的に実行されます (「完了したアクションの確認 」を参照)。In this case, remediation actions are taken automatically for artifacts that are considered to be malicious following an automated investigation (see Review completed actions).

  • 例 2: Contoso のデバイスは、Semi に設定されているデバイス グループに含まれています。修復には承認 が必要ですExample 2: Contoso's devices are included in a device group that is set for Semi - require approval for any remediation. この場合、Contoso のセキュリティ運用チームは、自動調査の後ですべての修復アクションを確認して承認する必要があります (「保留中のアクションの確認 」を参照)。In this case, Contoso's security operations team must review and approve all remediation actions following an automated investigation (see Review pending actions).

  • 例 3: Tailspin Toys のデバイス グループは [自動応答なし] に設定 されています (推奨されません)。Example 3: Tailspin Toys has their device groups set to No automated response (not recommended). この場合、自動調査は行われません。In this case, automated investigations do not occur. 修復アクションは実行または保留中で、デバイスのアクション センターにアクションは記録されません (「デバイス グループの管理」を参照)。No remediation actions are taken or pending, and no actions are logged in the Action center for their devices (see Manage device groups).

自動的に行う場合も承認時に行う場合でも、自動調査によって、次の 1 つ以上の修復アクションが発生する可能性があります。Whether taken automatically or upon approval, an automated investigation can result in one or more of the remediation actions:

  • ファイルの検疫Quarantine a file
  • レジストリ キーを削除するRemove a registry key
  • プロセスを終了するKill a process
  • サービスを停止するStop a service
  • ドライバーを無効にするDisable a driver
  • スケジュールされたタスクを削除するRemove a scheduled task

保留中のアクションを確認するReview pending actions

  1. Microsoft 365 セキュリティ センター ( ) に移動し https://security.microsoft.com 、サインインします。Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. ナビゲーション ウィンドウで、[アクション センター] を選択します。In the navigation pane, choose Action center.
  3. [保留中] タブの アイテムを確認 します。Review the items on the Pending tab.
  4. アクションを選択して、そのフライアウト ウィンドウを開きます。Select an action to open its flyout pane.
  5. フライアウト ウィンドウで情報を確認し、次のいずれかの手順を実行します。In the flyout pane, review the information, and then take one of the following steps:
    • [ 調査ページを開く] を選択して、調査の詳細を表示します。Select Open investigation page to view more details about the investigation.
    • [承認 ] を 選択して保留中のアクションを開始します。Select Approve to initiate a pending action.
    • 保留中 のアクション が実行されるのを防ぐには、[拒否] を選択します。Select Reject to prevent a pending action from being taken.
    • [Go hunt] を 選択して高度な ハンティングに入るSelect Go hunt to go into Advanced hunting.

完了したアクションを確認するReview completed actions

  1. Microsoft 365 セキュリティ センター ( ) に移動し https://security.microsoft.com 、サインインします。Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. ナビゲーション ウィンドウで、[アクション センター] を選択します。In the navigation pane, choose Action center.
  3. [履歴] タブのアイテム を確認 します。Review the items on the History tab.
  4. アイテムを選択すると、その修復アクションの詳細が表示されます。Select an item to view more details about that remediation action.

完了した操作を元に戻すUndo completed actions

デバイスまたはファイルが脅威ではないと判断した場合は、これらのアクションが自動的または手動で実行されたかどうかに関わり、実行された修復アクションを元に戻すことができます。If you’ve determined that a device or a file is not a threat, you can undo remediation actions that were taken, whether those actions were taken automatically or manually. [アクション センター] の [履歴] タブ で、次の操作を元に戻すことができます。In the Action center, on the History tab, you can undo any of the following actions:

アクション ソースAction source サポートされているアクションSupported Actions
- 自動調査- Automated investigation
- Microsoft Defender ウイルス対策- Microsoft Defender Antivirus
- 手動応答アクション- Manual response actions
- デバイスの分離- Isolate device
- コードの実行を制限する- Restrict code execution
- ファイルを検疫する- Quarantine a file
- レジストリ キーを削除する- Remove a registry key
- サービスを停止する- Stop a service
- ドライバーを無効にする- Disable a driver
- スケジュールされたタスクを削除する- Remove a scheduled task

複数のアクションを一度に元に戻すにはTo undo multiple actions at one time

  1. アクション センター ( ) に移動 https://security.microsoft.com/action-center し、サインインします。Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. [履歴 ] タブ で、元に戻す操作を選択します。On the History tab, select the actions that you want to undo. 同じアクションの種類を持つアイテムを選択してください。Make sure to select items that have the same Action type. フライアウト ウィンドウが開きます。A flyout pane opens.
  3. フライアウト ウィンドウで、[元に戻す] を 選択しますIn the flyout pane, select Undo.

複数のデバイス間で検疫からファイルを削除するにはTo remove a file from quarantine across multiple devices

  1. アクション センター ( ) に移動 https://security.microsoft.com/action-center し、サインインします。Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. [履歴 ] タブ で、アクションタイプの検疫ファイルを持つアイテム を選択しますOn the History tab, select an item that has the Action type Quarantine file.
  3. フライアウト ウィンドウで、[このファイルの インスタンスを X に適用する] を選択し、[元に戻す] を 選択しますIn the flyout pane, select Apply to X more instances of this file, and then select Undo.

自動化レベル、自動化された調査結果、および結果のアクションAutomation levels, automated investigation results, and resulting actions

オートメーション レベルは、特定の修復アクションが自動的に実行されるのか、承認時にのみ実行されるのかに影響します。Automation levels affect whether certain remediation actions are taken automatically or only upon approval. 自動調査の結果に応じて、セキュリティ運用チームが実行する手順が多い場合があります。Sometimes your security operations team has more steps to take, depending on the results of an automated investigation. 次の表は、自動化レベル、自動調査の結果、および各ケースで実行する操作の概要を示しています。The following table summarizes automation levels, results of automated investigations, and what to do in each case.

デバイス グループの設定Device group setting 自動調査結果Automated investigation results 操作What to do
完全 - 脅威を自動的に修復 する (推奨設定)Full - remediate threats automatically (the recommended setting) 証拠の一部に 対して悪意 のあるという評決に達します。A verdict of Malicious is reached for a piece of evidence.

適切な修復アクションが自動的に実行されます。Appropriate remediation actions are taken automatically.
完了したアクションを確認するReview completed actions
完全 - 脅威を自動的に修復するFull - remediate threats automatically 証拠の一部に 対して疑 わしいという評決に達します。A verdict of Suspicious is reached for a piece of evidence.

修復アクションは、続行するための承認待ちです。Remediation actions are pending approval to proceed.
保留中のアクションを承認 (または拒否) するApprove (or reject) pending actions
Semi - 修復の承認が必要Semi - require approval for any remediation 証拠の一部に対 して、悪意のあるか**疑わしい かの評決に達します。A verdict of either Malicious or Suspicious is reached for a piece of evidence.

修復アクションは、続行するための承認待ちです。Remediation actions are pending approval to proceed.
保留中のアクションを承認 (または拒否) するApprove (or reject) pending actions
Semi - コア フォルダー修復の承認が必要Semi - require approval for core folders remediation 証拠の一部に 対して悪意 のあるという評決に達します。A verdict of Malicious is reached for a piece of evidence.

成果物がファイルまたは実行可能ファイルであり、Windows フォルダーや Program files フォルダーなどのオペレーティング システム ディレクトリにある場合、修復アクションは承認待ちです。If the artifact is a file or executable and is in an operating system directory, such as the Windows folder or the Program files folder, then remediation actions are pending approval.

成果物がオペレーティング システム ディレクトリに 存在しない場合は、修復アクションが自動的に実行されます。If the artifact is not in an operating system directory, remediation actions are taken automatically.
1. 保留中のアクションを承認 (または拒否) する1. Approve (or reject) pending actions

2. 完了したアクションを確認する2. Review completed actions
Semi - コア フォルダー修復の承認が必要Semi - require approval for core folders remediation 証拠の一部に 対して疑 わしいという評決に達します。A verdict of Suspicious is reached for a piece of evidence.

修復アクションは承認待ちです。Remediation actions are pending approval.
保留中のアクションを承認 (または拒否) しますApprove (or reject) pending actions.
Semi - 一時フォルダー以外の修復の承認が必要Semi - require approval for non-temp folders remediation 証拠の一部に 対して悪意 のあるという評決に達します。A verdict of Malicious is reached for a piece of evidence.

成果物が、ユーザーのダウンロード フォルダーや一時フォルダーなど、一時フォルダーに含されていないファイルまたは実行可能ファイルである場合、修復アクションは承認待ちです。If the artifact is a file or executable that is not in a temporary folder, such as the user's downloads folder or temp folder, remediation actions are pending approval.

成果物が一時フォルダー内 のファイルまたは 実行可能ファイルである場合、修復アクションは自動的に実行されます。If the artifact is a file or executable that is in a temporary folder, remediation actions are taken automatically.
1. 保留中のアクションを承認 (または拒否) する1. Approve (or reject) pending actions

2. 完了したアクションを確認する2. Review completed actions
Semi - 一時フォルダー以外の修復の承認が必要Semi - require approval for non-temp folders remediation 証拠の一部に 対して疑 わしいという評決に達します。A verdict of Suspicious is reached for a piece of evidence.

修復アクションは承認待ちです。Remediation actions are pending approval.
保留中のアクションを承認 (または拒否) するApprove (or reject) pending actions
完全または 半の オートメーションレベルAny of the Full or Semi automation levels 証拠の一部に 対する脅威が見つからない という評決に達しました。A verdict of No threats found is reached for a piece of evidence.

修復アクションは実行され、承認待ちアクションはありません。No remediation actions are taken, and no actions are pending approval.
自動調査の詳細と結果を表示するView details and results of automated investigations
自動応答なし (推奨されません)No automated response (not recommended) 自動調査は実行されません。そのため、評決に達したり、修復アクションを実行したり、承認を待つ操作を行う必要はありません。No automated investigations run, so no verdicts are reached, and no remediation actions are taken or awaiting approval. フル オートメーションまたは Semi オートメーションを使用するデバイス グループ の設定または 変更 を検討 するConsider setting up or changing your device groups to use Full or Semi automation

Microsoft Defender for Endpoint では、すべての評決がアクション センターで 追跡されますIn Microsoft Defender for Endpoint, all verdicts are tracked in the Action center.

次の手順Next steps

関連項目See also