デバイスの対応措置を講じるTake response actions on a device

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

デバイスを分離するか、調査パッケージを収集することで、検出された攻撃に迅速に対応します。Quickly respond to detected attacks by isolating devices or collecting an investigation package. デバイスでアクションを実行した後、アクション センターでアクティビティの詳細を確認できます。After taking action on devices, you can check activity details on the Action center.

応答アクションは、特定のデバイス ページの上部に沿って実行され、次のものが含まれます。Response actions run along the top of a specific device page and include:

  • タグの管理Manage tags
  • 自動調査の開始Initiate Automated Investigation
  • ライブ応答セッションの開始Initiate Live Response Session
  • 調査パッケージの収集Collect investigation package
  • ウイルス対策スキャンを実行するRun antivirus scan
  • アプリの実行を制限するRestrict app execution
  • デバイスの分離Isolate device
  • 脅威のエキスパートに相談するConsult a threat expert
  • アクション センターAction center

応答アクションのイメージ Image of response actions

デバイス ページは、次のビューから検索できます。You can find device pages from any of the following views:

  • セキュリティ操作ダッシュボード - リスク カードのデバイスからデバイス名を選択します。Security operations dashboard - Select a device name from the Devices at risk card.
  • アラート キュー - 通知キューからデバイス アイコンの横にあるデバイス名を選択します。Alerts queue - Select the device name beside the device icon from the alerts queue.
  • [デバイス一 覧] - デバイスリストからデバイス名の見出しを選択します。Devices list - Select the heading of the device name from the devices list.
  • [検索] ボックス - ドロップダウン メニューから [デバイス] を選択し、デバイス名を入力します。Search box - Select Device from the drop-down menu and enter the device name.

重要

  • これらの応答アクションは、Windows 10 バージョン 1703 以降のデバイスでのみ使用できます。These response actions are only available for devices on Windows 10, version 1703 or later.
  • Windows 以外のプラットフォームでは、応答機能 (デバイスの分離など) はサード パーティの機能に依存します。For non-Windows platforms, response capabilities (such as Device isolation) are dependent on the third-party capabilities.

タグの管理Manage tags

タグを追加または管理して、論理グループ所属を作成します。Add or manage tags to create a logical group affiliation. デバイス タグは、ネットワークの適切なマッピングをサポートし、さまざまなタグを添付してコンテキストをキャプチャし、インシデントの一部として動的なリスト作成を有効にできます。Device tags support proper mapping of the network, enabling you to attach different tags to capture context and to enable dynamic list creation as part of an incident.

デバイスタグ付けの詳細については、「デバイス タグの作成と 管理」を参照してくださいFor more information on device tagging, see Create and manage device tags.

自動調査の開始Initiate Automated Investigation

必要に応じて、デバイスで新しい汎用自動調査を開始できます。You can start a new general purpose automated investigation on the device if needed. 調査の実行中、デバイスから生成された他のアラートは、その調査が完了するまで、継続的な自動調査に追加されます。While an investigation is running, any other alert generated from the device will be added to an ongoing Automated investigation until that investigation is completed. さらに、他のデバイスで同じ脅威が見られる場合は、それらのデバイスが調査に追加されます。In addition, if the same threat is seen on other devices, those devices are added to the investigation.

自動調査の詳細については、「自動調査の 概要」を参照してくださいFor more information on automated investigations, see Overview of Automated investigations.

ライブ応答セッションの開始Initiate Live Response Session

ライブ応答は、リモート シェル接続を使用してデバイスに瞬時にアクセスできる機能です。Live response is a capability that gives you instantaneous access to a device by using a remote shell connection. これにより、詳細な調査作業を行い、迅速に特定された脅威 (リアルタイム) を含む即時対応アクションを実行できます。This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats — real time.

ライブ応答は、法医学データの収集、スクリプトの実行、分析のための疑わしいエンティティの送信、脅威の修復、および新たな脅威の予防的な捜しを可能にすることで、調査を強化するように設計されています。Live response is designed to enhance investigations by enabling you to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

ライブ応答の詳細については、「ライブ応答を使用 してデバイス上のエンティティを調査する」を参照してくださいFor more information on live response, see Investigate entities on devices using live response.

デバイスから調査パッケージを収集するCollect investigation package from devices

調査または対応プロセスの一環として、デバイスから調査パッケージを収集できます。As part of the investigation or response process, you can collect an investigation package from a device. 調査パッケージを収集することで、デバイスの現在の状態を特定し、攻撃者が使用するツールと手法をさらに理解できます。By collecting the investigation package, you can identify the current state of the device and further understand the tools and techniques used by the attacker.

パッケージ (Zip ファイル) をダウンロードし、デバイスで発生したイベントを調査するにはTo download the package (Zip file) and investigate the events that occurred on a device

  1. デバイス ページの上部にある 応答アクションの行から [調査パッケージの収集] を選択します。Select Collect investigation package from the row of response actions at the top of the device page.
  2. このアクションを実行する理由をテキスト ボックスに指定します。Specify in the text box why you want to perform this action. [確認] を選択します。Select Confirm.
  3. zip ファイルがダウンロードされますThe zip file will download

別の方法:Alternate way:

  1. デバイス ページの [ 応答アクション] セクションから [アクション センター] を選択します。Select Action center from the response actions section of the device page.

    アクション センター ボタンのイメージ

  2. アクション センターのフライアウトで、[ パッケージ コレクション パッケージを選択して zip ファイルをダウンロードできます。In the Action center fly-out, select Package collection package available to download the zip file.

    [パッケージのダウンロード] ボタンのイメージ

パッケージには、次のフォルダーが含まれています。The package contains the following folders:

フォルダーFolder 説明Description
自動実行Autoruns デバイス上での攻撃者の永続性を識別するために、既知の自動開始エントリ ポイント (ASEP) のレジストリの内容を表す一連のファイルが格納されています。Contains a set of files that each represent the content of the registry of a known auto start entry point (ASEP) to help identify attacker’s persistency on the device.
注: レジストリ キーが見つからない場合、ファイルには次のメッセージが含まれます。"ERROR: システムは、指定されたレジストリ キーまたは値を見つかりませんでした。NOTE: If the registry key is not found, the file will contain the following message: “ERROR: The system was unable to find the specified registry key or value.”
インストールされているプログラムInstalled programs これ。CSV ファイルには、デバイスに現在インストールされているプログラムを識別するのに役立つインストール済みプログラムの一覧が含まれている。This .CSV file contains the list of installed programs that can help identify what is currently installed on the device. 詳細については、「Win32_Product クラス」を参照してくださいFor more information, see Win32_Product class.
ネットワーク接続Network connections このフォルダーには、疑わしい URL への接続、攻撃者のコマンドと制御 (C&C) インフラストラクチャ、横方向の移動、またはリモート接続の識別に役立つ接続情報に関連する一連のデータ ポイントが格納されています。This folder contains a set of data points related to the connectivity information which can help in identifying connectivity to suspicious URLs, attacker’s command and control (C&C) infrastructure, any lateral movement, or remote connections.
- ActiveNetConnections.txt – プロトコル統計と現在の TCP/IP ネットワーク接続を表示します。- ActiveNetConnections.txt – Displays protocol statistics and current TCP/IP network connections. プロセスによって行われた疑わしい接続を探す機能を提供します。Provides the ability to look for suspicious connectivity made by a process.

- Arp.txt – すべてのインターフェイスの現在のアドレス解決プロトコル (ARP) キャッシュ テーブルを表示します。- Arp.txt – Displays the current address resolution protocol (ARP) cache tables for all interfaces.

ARP キャッシュは、ネットワーク上で侵害された、または内部攻撃を実行するために使用された可能性がある疑わしいシステムがネットワーク上の追加のホストを表示する可能性があります。ARP cache can reveal additional hosts on a network that have been compromised or suspicious systems on the network that might have been used to run an internal attack.

- DnsCache.txt - ローカル ホスト ファイルから事前に読み込まれるエントリと、コンピューターによって解決された名前クエリの最近取得したリソース レコードの両方を含む、DNS クライアント リゾルバー キャッシュの内容を表示します。- DnsCache.txt - Displays the contents of the DNS client resolver cache, which includes both entries preloaded from the local Hosts file and any recently obtained resource records for name queries resolved by the computer. これは、疑わしい接続を識別するのに役立ちます。This can help in identifying suspicious connections.

- IpConfig.txt – すべてのアダプターの TCP/IP 構成全体を表示します。- IpConfig.txt – Displays the full TCP/IP configuration for all adapters. アダプターは、インストールされているネットワーク アダプターなどの物理インターフェイス、またはダイヤルアップ接続などの論理インターフェイスを表します。Adapters can represent physical interfaces, such as installed network adapters, or logical interfaces, such as dial-up connections.

- FirewallExecutionLog.txt pfirewall.log- FirewallExecutionLog.txt and pfirewall.log
プリフェッチ ファイルPrefetch files Windows Prefetch ファイルは、アプリケーションの起動プロセスを高速化するように設計されています。Windows Prefetch files are designed to speed up the application startup process. システムで最近使用されたファイルを追跡し、削除された可能性があるがプリフェッチ ファイルの一覧に残っている可能性があるアプリケーションのトレースを検索するために使用できます。It can be used to track all the files recently used in the system and find traces for applications that might have been deleted but can still be found in the prefetch file list.
- Prefetch フォルダー – からプリフェッチ ファイルのコピーが含まれる %SystemRoot%\Prefetch- Prefetch folder – Contains a copy of the prefetch files from %SystemRoot%\Prefetch. 注: プリフェッチ ファイルを表示するには、プリフェッチ ファイル ビューアーをダウンロードしてください。NOTE: It is suggested to download a prefetch file viewer to view the prefetch files.

- PrefetchFilesList.txt – プリフェッチ フォルダーにコピーエラーが発生した場合に追跡するために使用できる、コピーされたファイルの一覧が含まれる。- PrefetchFilesList.txt – Contains the list of all the copied files which can be used to track if there were any copy failures to the prefetch folder.
プロセスProcesses を含む.実行中のプロセスを示す CSV ファイルで、デバイスで実行中の現在のプロセスを識別できます。Contains a .CSV file listing the running processes, which provides the ability to identify current processes running on the device. これは、疑わしいプロセスとその状態を識別する場合に役立ちます。This can be useful when identifying a suspicious process and its state.
スケジュールされたタスクScheduled tasks を含む.選択したデバイスで自動的に実行されるルーチンを識別するために使用できる、スケジュールされたタスクを示す CSV ファイルで、自動的に実行される疑わしいコードを探します。Contains a .CSV file listing the scheduled tasks, which can be used to identify routines performed automatically on a chosen device to look for suspicious code which was set to run automatically.
セキュリティ イベント ログSecurity event log ログインまたはログアウトアクティビティのレコード、またはシステムの監査ポリシーで指定された他のセキュリティ関連イベントを含むセキュリティ イベント ログが含まれます。Contains the security event log, which contains records of login or logout activity, or other security-related events specified by the system's audit policy.
注: イベント ビューアーを使用してイベント ログ ファイルを開きます。NOTE: Open the event log file using Event viewer.
サービスServices を含む.サービスとその状態を一覧表示する CSV ファイル。Contains a .CSV file that lists services and their states.
Windows Server メッセージ ブロック (SMB) セッションWindows Server Message Block (SMB) sessions ファイル、プリンター、シリアル ポートへの共有アクセスと、ネットワーク上のノード間のその他の通信を一覧表示します。Lists shared access to files, printers, and serial ports and miscellaneous communications between nodes on a network. これは、データの外ろ過や横方向の動きを特定するのに役立ちます。This can help identify data exfiltration or lateral movement.
SMBInboundSessions および SMBOutboundSession 用のファイルが含まれる。Contains files for SMBInboundSessions and SMBOutboundSession.

注: セッション (受信または送信) がない場合は、SMB セッションが見つからないことを示すテキスト ファイルが表示されます。NOTE: If there are no sessions (inbound or outbound), you'll get a text file which tell you that there are no SMB sessions found.
システム情報System Information OS のバージョンSystemInformation.txtネットワーク カードなどのシステム情報を一覧表示するファイルを格納します。Contains a SystemInformation.txt file which lists system information such as OS version and network cards.
一時ディレクトリTemp Directories システム内のすべてのユーザーの %Temp% にあるファイルを一覧表示する一連のテキスト ファイルが含まれる。Contains a set of text files that lists the files located in %Temp% for every user in the system.
これにより、攻撃者がシステムにドロップした疑わしいファイルを追跡するのに役立ちます。This can help to track suspicious files that an attacker may have dropped on the system.

注: ファイルに次のメッセージが含まれている場合は、"システムが指定したパスを見つけ"、このユーザーの一時ディレクトリが存在しないという意味であり、ユーザーがシステムにログインしなかったためである可能性があります。NOTE: If the file contains the following message: “The system cannot find the path specified”, it means that there is no temp directory for this user, and might be because the user didn’t log in to the system.
ユーザーとグループUsers and Groups グループとそのメンバーを表すファイルの一覧を提供します。Provides a list of files that each represent a group and its members.
WdSupportLogsWdSupportLogs データとMpCmdRunLog.txtを提供MPSupportFiles.cabProvides the MpCmdRunLog.txt and MPSupportFiles.cab
注: このフォルダーは、Windows 10 バージョン 1709 以降でのみ作成され、2020 年 2 月の更新プログラムのロールアップ以上がインストールされます。NOTE: This folder will only be created on Windows 10, version 1709 or later with February 2020 update rollup or more recent installed:
Win10 1709 (RS3) ビルド 16299.1717 : KB4537816Win10 1709 (RS3) Build 16299.1717 : KB4537816
Win10 1803 (RS4) ビルド 17134.1345 : KB4537795Win10 1803 (RS4) Build 17134.1345 : KB4537795
Win10 1809 (RS5) ビルド 17763.1075 : KB4537818Win10 1809 (RS5) Build 17763.1075 : KB4537818
Win10 1903/1909 (19h1/19h2) ビルド 18362.693 および 18363.693 : KB4535996Win10 1903/1909 (19h1/19h2) Builds 18362.693 and 18363.693 : KB4535996
CollectionSummaryReport.xlsCollectionSummaryReport.xls このファイルは、調査パッケージ コレクションの概要であり、データ ポイントの一覧、データの抽出に使用されるコマンド、実行状態、エラー が発生した場合のエラー コードが含まれます。This file is a summary of the investigation package collection, it contains the list of data points, the command used to extract the data, the execution status, and the error code in case of failure. このレポートを使用して、パッケージに予期されるデータが含まれるか追跡し、エラーが発生した場合を特定できます。You can use this report to track if the package includes all the expected data and identify if there were any errors.

デバイスで Microsoft Defender ウイルス対策スキャンを実行するRun Microsoft Defender Antivirus scan on devices

調査または対応プロセスの一環として、リモートからウイルス対策スキャンを開始して、侵害されたデバイスに存在する可能性のあるマルウェアを特定して修復できます。As part of the investigation or response process, you can remotely initiate an antivirus scan to help identify and remediate malware that might be present on a compromised device.

重要

  • このアクションは、Windows 10 バージョン 1709 以降のデバイスで使用できます。This action is available for devices on Windows 10, version 1709 or later.
  • Microsoft Defender ウイルス対策 (Microsoft Defender AV) スキャンは、Microsoft Defender AV がアクティブなウイルス対策ソリューションか否かに関して、他のウイルス対策ソリューションと共に実行できます。A Microsoft Defender Antivirus (Microsoft Defender AV) scan can run alongside other antivirus solutions, whether Microsoft Defender AV is the active antivirus solution or not. Microsoft Defender AV はパッシブ モードにできます。Microsoft Defender AV can be in Passive mode. 詳細については 、「Microsoft Defender ウイルス対策の互換性」を参照してくださいFor more information, see Microsoft Defender Antivirus compatibility.

[ウイルス対策スキャンの 実行] を選択した 1 つは、実行するスキャンの種類 (クイックまたはフル) を選択し、コメントを追加してからスキャンを確認します。One you have selected Run antivirus scan, select the scan type that you'd like to run (quick or full) and add a comment before confirming the scan.

クイック スキャンまたはフル スキャンを選択してコメントを追加する通知の画像

アクション センターにスキャン情報が表示され、デバイスのタイムラインに新しいイベントが含まれます。スキャン アクションがデバイスに送信されたのを反映します。The Action center will show the scan information and the device timeline will include a new event, reflecting that a scan action was submitted on the device. Microsoft Defender AV アラートは、スキャン中に表示された検出を反映します。Microsoft Defender AV alerts will reflect any detections that surfaced during the scan.

注意

Defender for Endpoint 応答アクションを使用してスキャンをトリガーする場合、Microsoft Defender ウイルス対策 'ScanAvgCPULoadFactor' の値は引き続き適用され、スキャンの CPU への影響が制限されます。When triggering a scan using Defender for Endpoint response action, Microsoft Defender antivirus 'ScanAvgCPULoadFactor' value still applies and limits the CPU impact of the scan.
ScanAvgCPULoadFactor が構成されていない場合、既定値はスキャン中の最大 CPU 負荷の 50% の制限です。If ScanAvgCPULoadFactor is not configured, the default value is a limit of 50% maximum CPU load during a scan.
詳細については 、「configure-advanced-scan-types-microsoft-defender-antivirus」を参照してくださいFor more information, see configure-advanced-scan-types-microsoft-defender-antivirus.

アプリの実行を制限するRestrict app execution

悪意のあるプロセスを停止して攻撃を含めるだけでなく、デバイスをロックダウンして、悪意のある可能性のあるプログラムの後続の試みを実行することもできます。In addition to containing an attack by stopping malicious processes, you can also lock down a device and prevent subsequent attempts of potentially malicious programs from running.

重要

  • このアクションは、Windows 10 バージョン 1709 以降のデバイスで使用できます。This action is available for devices on Windows 10, version 1709 or later.
  • この機能は、組織で Microsoft Defender ウイルス対策を使用している場合に使用できます。This feature is available if your organization uses Microsoft Defender Antivirus.
  • このアクションは、アプリケーションコントロールのコード整合性Windows Defenderの形式と署名要件を満たす必要があります。This action needs to meet the Windows Defender Application Control code integrity policy formats and signing requirements. 詳細については、「コード整合性 ポリシーの形式と署名」を参照してくださいFor more information, see Code integrity policy formats and signing.

アプリケーションの実行を制限するために、Microsoft 発行の証明書によって署名されている場合にのみファイルを実行できるコード整合性ポリシーが適用されます。To restrict an application from running, a code integrity policy is applied that only allows files to run if they are signed by a Microsoft issued certificate. この制限方法は、攻撃者が侵害されたデバイスを制御し、さらに悪意のあるアクティビティを実行するのを防ぐのに役立ちます。This method of restriction can help prevent an attacker from controlling compromised devices and performing further malicious activities.

注意

アプリケーションの制限をいつでも実行から取り消す事が可能です。You’ll be able to reverse the restriction of applications from running at any time. デバイス ページのボタンが [アプリの制限の削除] に変わります。その後、アプリの実行を制限する手順と同じ手順を実行します。The button on the device page will change to say Remove app restrictions, and then you take the same steps as restricting app execution.

デバイス ページで [ アプリの実行 を制限する] を選択したら、コメントを入力し、[確認] を 選択しますOnce you have selected Restrict app execution on the device page, type a comment and select Confirm. アクション センターにスキャン情報が表示され、デバイスのタイムラインに新しいイベントが含まれます。The Action center will show the scan information and the device timeline will include a new event.

アプリ制限通知の画像

デバイス ユーザーの通知:Notification on device user:
アプリが制限されている場合は、アプリの実行が制限されているユーザーに通知する次の通知が表示されます。When an app is restricted, the following notification is displayed to inform the user that an app is being restricted from running:

アプリ制限のイメージ

<a name="isolate-devices-from-the-network">ネットワークからデバイスを分離するIsolate devices from the network

攻撃の重大度とデバイスの感度に応じて、ネットワークからデバイスを分離できます。Depending on the severity of the attack and the sensitivity of the device, you might want to isolate the device from the network. このアクションは、攻撃者が侵害されたデバイスを制御し、データの漏洩や横方向の移動などの追加のアクティビティを実行するのを防ぐのに役立ちます。This action can help prevent the attacker from controlling the compromised device and performing further activities such as data exfiltration and lateral movement.

重要

  • 完全な分離は、Windows 10 バージョン 1703 のデバイスで使用できます。Full isolation is available for devices on Windows 10, version 1703.
  • 選択的分離は、Windows 10 バージョン 1709 以降のデバイスで使用できます。Selective isolation is available for devices on Windows 10, version 1709 or later.

このデバイス分離機能は、デバイスを監視し続ける Defender for Endpoint サービスへの接続を維持しながら、侵害されたデバイスをネットワークから切断します。This device isolation feature disconnects the compromised device from the network while retaining connectivity to the Defender for Endpoint service, which continues to monitor the device.

Windows 10 バージョン 1709 以降では、ネットワーク分離レベルを制御できます。On Windows 10, version 1709 or later, you'll have additional control over the network isolation level. Outlook、Microsoft Teams、Skype for Business 接続 ("選択的分離") を有効にできます。You can also choose to enable Outlook, Microsoft Teams, and Skype for Business connectivity (a.k.a 'Selective Isolation').

注意

いつでもデバイスをネットワークに再接続できます。You’ll be able to reconnect the device back to the network at any time. デバイス ページのボタンが [分離から解放] と表示され、デバイスを分離するのと同じ手順を実行します。The button on the device page will change to say Release from isolation, and then you take the same steps as isolating the device.

デバイス ページで [ デバイスの分離 ] を選択したら、コメントを入力し、[確認] を 選択しますOnce you have selected Isolate device on the device page, type a comment and select Confirm. アクション センターにスキャン情報が表示され、デバイスのタイムラインに新しいイベントが含まれます。The Action center will show the scan information and the device timeline will include a new event.

分離デバイスのイメージ

注意

デバイスは、ネットワークから分離されている場合でも、Defender for Endpoint サービスに接続されたままです。The device will remain connected to the Defender for Endpoint service even if it is isolated from the network. Outlook と Skype for Business の通信を有効にした場合は、デバイスが分離されている間にユーザーと通信できます。If you've chosen to enable Outlook and Skype for Business communication, then you'll be able to communicate to the user while the device is isolated.

デバイス ユーザーの通知:Notification on device user:
デバイスが分離されている場合、次の通知が表示され、デバイスがネットワークから分離されているという通知がユーザーに通知されます。When a device is being isolated, the following notification is displayed to inform the user that the device is being isolated from the network:

ネットワーク接続なしのイメージ

脅威のエキスパートに相談するConsult a threat expert

Microsoft の脅威の専門家に相談して、潜在的に侵害されたデバイスや既に侵害されたデバイスに関する詳細な分析情報を確認できます。You can consult a Microsoft threat expert for more insights regarding a potentially compromised device or already compromised ones. Microsoft Threat Experts は、Microsoft Defender セキュリティ センター内から直接関与して、迅速かつ正確な対応を行います。Microsoft Threat Experts can be engaged directly from within the Microsoft Defender Security Center for timely and accurate response. 専門家は、潜在的に侵害されたデバイスに関するだけでなく、複雑な脅威、取得した標的型攻撃通知、またはアラートに関する詳細が必要な場合、またはポータル ダッシュボードに表示される脅威インテリジェンス コンテキストを理解するためにも洞察を提供します。Experts provide insights not just regarding a potentially compromised device, but also to better understand complex threats, targeted attack notifications that you get, or if you need more information about the alerts, or a threat intelligence context that you see on your portal dashboard.

詳細 については、「Microsoft Threat Expert」を 参照してください。See Consult a Microsoft Threat Expert for details.

アクション センターでアクティビティの詳細を確認するCheck activity details in Action center

アクション センターは、 デバイスまたはファイルで実行されたアクションに関する情報を提供します。The Action center provides information on actions that were taken on a device or file. 次の詳細を表示できます。You’ll be able to view the following details:

  • 調査パッケージ コレクションInvestigation package collection
  • ウイルス対策スキャンAntivirus scan
  • アプリの制限App restriction
  • デバイスの分離Device isolation

その他のすべての関連する詳細も表示されます 。たとえば、申請の日時、ユーザーの送信、アクションの成功または失敗の場合などです。All other related details are also shown, for example, submission date/time, submitting user, and if the action succeeded or failed.

情報を含むアクション センターのイメージ