Microsoft 365 Defender での自動調査と対応Automated investigation and response in Microsoft 365 Defender


改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

組織で Microsoft 365 Defender を使用している場合、悪意のあるアーティファクトや疑わしいアーティファクトが検出されると、セキュリティ運用チームは警告を受け取ります。If your organization is using Microsoft 365 Defender, your security operations team receives an alert whenever a malicious or suspicious artifact is detected. 一見終わりのない脅威の流れを考えると、セキュリティ チームは多くの場合、アラートの量が多い場合に対処する上で課題に直面します。Given the seemingly never-ending flow of threats that come in, security teams often face challenges in addressing the high volume of alerts. 幸いなことに、Microsoft 365 Defender には自動調査と修復 (AIR) 機能が含まれています。Fortunately, Microsoft 365 Defender includes automated investigation and remediation (AIR) capabilities that can help your security operations team address threats more efficiently and effectively.

この記事では、AIR の概要を説明し、次の手順と追加のリソースへのリンクを含みます。This article provides an overview of AIR and includes links to next steps and additional resources.


Microsoft 365 Defender を体験してみませんか?Want to experience Microsoft 365 Defender? ラボ環境で評価することも、実稼働環境でパイロット プロジェクトを実行することもできます。You can evaluate it in a lab environment or run your pilot project in production.

自動調査と自己修復の仕組みHow automated investigation and self-healing works

セキュリティアラートがトリガーされると、セキュリティ運用チームがこれらのアラートを確認し、組織を保護するための手順を実行する必要があります。As security alerts are triggered, it's up to your security operations team to look into those alerts and take steps to protect your organization. 警告の優先順位付けと調査には、多くの時間がかかる場合があります。調査実行中に新しい警告が出されるような状況では、この傾向が特に強くなります。Prioritizing and investigating alerts can be very time consuming, especially when new alerts keep coming in while an investigation is going on. セキュリティ運用チームは、監視および保護を必要とする脅威の膨大さに圧倒されてしまう可能性があります。Security operations teams can feel overwhelmed by the sheer volume of threats they must monitor and protect against. Microsoft 365 Defender では、自己修復機能を使用した自動調査と対応機能が役立ちます。Automated investigation and response capabilities, with self-healing, in Microsoft 365 Defender can help.

自己修復のしくみについては、次のビデオをご覧ください。Watch the following video to see how self-healing works:

Microsoft 365 Defender では、自己修復機能を備えた自動調査と応答は、デバイス、電子メール、コンテンツ、および id 間&機能します。In Microsoft 365 Defender, automated investigation and response with self-healing capabilities works across your devices, email & content, and identities.


この記事では、自動調査と対応のしくみについて説明します。This article describes how automated investigation and response works. これらの機能を構成するには 、「Configure automated investigation and response capabilitis in Microsoft 365 Defender」を参照してくださいTo configure these capabilities, see Configure automated investigation and response capabilities in Microsoft 365 Defender.

独自の仮想アナリストYour own virtual analyst

Tier 1 または Tier 2 のセキュリティ運用チームに仮想アナリストを持つことを想像してください。Imagine having a virtual analyst in your Tier 1 or Tier 2 security operations team. 仮想アナリストは、セキュリティ運用チームであれば実行するであろう脅威の調査と修復の最適な手順を模倣して実行します。The virtual analyst mimics the ideal steps that security operations would take to investigate and remediate threats. 仮想アシスタントは、処理能力の制限なしに24時間年中無休で作業することが可能で、調査と脅威の修復を大量に処理することができます。The virtual assistant could work 24x7, with unlimited capacity, and take on a significant load of investigations and threat remediation. このような仮想アシスタントを使用すると、対応するまでの時間を大幅に短縮できます。その結果、セキュリティ運用チームでは、その他の重要な戦略的プロジェクトに取り組むための時間的余裕が生まれます。Such a virtual assistant could significantly reduce the time to respond, freeing up your security operations team for other important strategic projects. このシナリオが SF のように聞こえる場合は、そうではありません。If this scenario sounds like science fiction, it's not! このような仮想アナリストは、Microsoft 365 Defender スイートの一部であり、その名前は自動 調査と応答ですSuch a virtual analyst is part of your Microsoft 365 Defender suite, and its name is automated investigation and response.

自動調査と対応機能により、セキュリティ運用チームは、セキュリティアラートやインシデントに対処する組織の能力を大幅に向上できます。Automated investigation and response capabilities enable your security operations team to dramatically increase your organization's capacity to deal with security alerts and incidents. 自動調査と対応により、調査と修復の処理コストを削減し、脅威保護スイートを有効に利用できます。With automated investigation and response, you can reduce the cost of dealing with investigation and remediation activities and get the most out of your threat protection suite. 自動調査と対応機能は、次の方法でセキュリティ運用チームを支援します。Automated investigation and response capabilities help your security operations team by:

  1. 脅威に対してアクションを実行する必要があるかどうかの判断。Determining whether a threat requires action;
  2. 必要な修復アクションを実行 (または推奨) する。Taking (or recommending) any necessary remediation actions;
  3. 他の調査が行われるかどうかを決定する。そしてDetermining whether and what other investigations should occur; and
  4. 必要に応じた、他の警告に対するプロセスの反復。Repeating the process as necessary for other alerts.

自動調査のプロセスThe automated investigation process

アラートによってインシデントが作成され、自動調査を開始できます。An alert creates an incident, which can start an automated investigation. 自動調査の結果、各証拠の評決が下されます。The automated investigation results in a verdict for each piece of evidence. 評決は次の場合があります。Verdicts can be:

  • 悪意のある;Malicious;
  • 疑わしい。またはSuspicious; or
  • 脅威が見つかりませんNo threats found.

悪意のあるエンティティまたは疑わしいエンティティの修復アクションが識別されます。Remediation actions for malicious or suspicious entities are identified. 修復アクションの例を次に示します。Examples of remediation actions include:

組織の 自動調査 および対応機能の構成方法に応じて、修復アクションは自動的に実行するか、セキュリティ運用チームによる承認を受けた場合にのみ実行されます。Depending on how automated investigation and response capabilities are configured for your organization, remediation actions are taken automatically or only upon approval by your security operations team. 保留中か完了かのアクションはすべて、アクション センターに 一覧表示されますAll actions, whether pending or completed, are listed in the Action center.

調査の実行中にその他の関連する警告が発生した場合は、それらの警告は調査が完了するまで調査に追加され続けます。While an investigation is running, any other related alerts that arise are added to the investigation until it completes. 犯罪を起こしているエンティティが他の場所に表示される場合、自動化された調査はスコープを拡大してそのエンティティを含め、調査プロセスが繰り返されます。If an incriminated entity is seen elsewhere, the automated investigation expands its scope to include that entity, and the investigation process repeats.

Microsoft 365 Defender では、次の表にまとめると、各自動調査は、Microsoft Defender for Identity、Microsoft Defender for Endpoint、Defender for Office 365 の信号を相互に関連付けします。In Microsoft 365 Defender, each automated investigation correlates signals across Microsoft Defender for Identity, Microsoft Defender for Endpoint, and Defender for Office 365, as summarized in the following table:

エンティティEntities 脅威対策サービスThreat protection services
デバイス (エンドポイントとも呼ばれますが、コンピューターとも呼ばれます)Devices (also referred to as endpoints, and sometimes referred to as machines) Microsoft Defender for EndpointMicrosoft Defender for Endpoint
Microsoft Defender for IdentityMicrosoft Defender for Identity
電子メール コンテンツ (ファイルと URL を含む電子メール メッセージ)Email content (email messages that can contain files and URLs) Microsoft Defender for Office 365Microsoft Defender for Office 365


すべてのアラートによって自動調査がトリガーされるのではなく、すべての調査によって自動修復アクションが発生する場合はそうではありません。組織の自動調査と対応の構成方法によって異なります。Not every alert triggers an automated investigation, and not every investigation results in automated remediation actions; it depends on how automated investigation and response is configured for your organization. 「Microsoft 365 Defender で自動調査と応答機能を構成する」を参照してください。See Configure automated investigation and response capabilities in Microsoft 365 Defender.

調査の一覧の表示Viewing a list of investigations

調査を表示するには、[インシデント] ページに移動 します。To view investigations, go to the Incidents page. インシデントを選択し、[調査] タブを選択 します。詳細については、「自動調査 の詳細と結果」を参照してくださいSelect an incident, and then select the Investigations tab. To learn more, see Details and results of an automated investigation.

次の手順Next steps