Microsoft 365 Defender で自動調査と対応機能を構成するConfigure automated investigation and response capabilities in Microsoft 365 Defender

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

Microsoft 365 Defenderには、セキュリティ運用チームの時間と労力を節約できる強力な自動調査と対応機能が含まれています。Microsoft 365 Defender includes powerful automated investigation and response capabilities that can save your security operations team much time and effort. 自己 修復機能を使用すると、これらの機能は、セキュリティ アナリストが脅威の調査と対応に必要な手順を模倣し、より速く、拡張する能力が高くなります。With self-healing, these capabilities mimic the steps a security analyst would take to investigate and respond to threats, only faster, and with more ability to scale. この記事では、Microsoft 365 Defender で自動調査と対応を構成する方法について説明します。This article describes how to configure automated investigation and response in Microsoft 365 Defender.

自動調査および応答機能を構成するには、次の手順を実行します。To configure automated investigation and response capabilities, follow these steps:

  1. 前提条件を確認しますReview the prerequisites.
  2. デバイス グループのオートメーション レベルを確認または変更しますReview or change the automation level for device groups.
  3. 365 でセキュリティポリシーとアラート ポリシー Officeします。Review your security and alert policies in Office 365.
  4. Microsoft 365 Defender がオンになっていることを確認しますMake sure Microsoft 365 Defender is turned on.

次に、すべてのセットアップが終わると、アクション センターでアクションを表示 および管理しますThen, after you're all set up, View and manage actions in the Action center.

Microsoft 365 Defender での自動調査と対応の前提条件Prerequisites for automated investigation and response in Microsoft 365 Defender

要件Requirement 詳細Details
サブスクリプションの要件Subscription requirements これらのサブスクリプションの 1 つ。One of these subscriptions:
- Microsoft 365 E5- Microsoft 365 E5
- Microsoft 365 A5- Microsoft 365 A5
- Microsoft 365 E5 セキュリティ- Microsoft 365 E5 Security
- Microsoft 365 A5 セキュリティ- Microsoft 365 A5 Security
- Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5- Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

「Microsoft 365 Defender のライセンス要件」を参照してくださいSee Microsoft 365 Defender licensing requirements.

ネットワーク要件Network requirements - Id の Microsoft Defender が有効- Microsoft Defender for Identity enabled
- 構成済みの Microsoft Cloud App Security- Microsoft Cloud App Security configured
- Id 統合用 Microsoft Defender- Microsoft Defender for Identity integration
Windows コンピューターの要件Windows machine requirements - Windows 10、バージョン 1709 以降がインストール済み (「Windows 10 リリース情報」を参照してください)- Windows 10, version 1709 or later installed (See Windows 10 release information)
- 次の脅威保護サービスが構成されています。- The following threat protection services configured:
- エンドポイント用 Microsoft Defender- Microsoft Defender for Endpoint
- Microsoft Defender ウイルス対策- Microsoft Defender Antivirus
電子メール コンテンツと電子メール ファイルOffice保護Protection for email content and Office files Microsoft Defender for Office 365 が構成 されているMicrosoft Defender for Office 365 configured
アクセス許可Permissions 自動調査と対応機能を構成するには、Azure Active Directory ( ) または Microsoft 365 管理センター ( ) でグローバル管理者またはセキュリティ管理者の役割が割り当てられている https://portal.azure.com 必要があります https://admin.microsoft.comTo configure automated investigation and response capabilities, you must have the Global Administrator or Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or in the Microsoft 365 admin center (https://admin.microsoft.com).

保留中のアクションの確認、承認、拒否など、自動調査および応答機能を操作するために必要なアクセス許可を取得するには、「アクション センター タスクに必要なアクセス許可」 を参照してください。To get the permissions needed to work with automated investigation and response capabilities, such as reviewing, approving, or rejecting pending actions, see Required permissions for Action center tasks.

デバイス グループのオートメーション レベルを確認または変更するReview or change the automation level for device groups

自動調査を実行するかどうか、および修復アクションが自動的に実行されるのか、デバイスの承認時にのみ実行されるのかは、組織のデバイス グループ ポリシーなど、特定の設定によって異なります。Whether automated investigations run, and whether remediation actions are taken automatically or only upon approval for your devices depend on certain settings, such as your organization's device group policies. デバイス グループ ポリシーのオートメーション レベル セットを確認します。Review the automation level set for your device group policies.

  1. Microsoft Defender セキュリティ センター ( ) に移動 https://securitycenter.windows.com し、サインインします。Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.
  2. [設定のアクセス 許可 > ] [デバイス > グループ] に移動しますGo to Settings > Permissions > Device groups.
  3. デバイス グループ ポリシーを確認します。Review your device group policies. 特に、[修復レベル] 列を参照 してください。In particular, look at the Remediation level column. 完全 - 脅威 を自動的に修復するを使用することをお勧めしますWe recommend using Full - remediate threats automatically. 必要なオートメーションのレベルを取得するには、デバイス グループを作成または編集する必要がある場合があります。You might need to create or edit your device groups to get the level of automation you want. このタスクのヘルプを表示するには、次の記事を参照してください。To get help with this task, see the following articles:

365 でセキュリティポリシーとアラート ポリシー OfficeするReview your security and alert policies in Office 365

Microsoft は、特定のリスク を特定するのに 役立つ組み込みのアラート ポリシーを提供します。Microsoft provides built-in alert policies that help identify certain risks. これらのリスクには、Exchange 管理者のアクセス許可の悪用、マルウェアアクティビティ、外部および内部の潜在的な脅威、および情報ガバナンスのリスクが含まれます。These risks include Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. 一部のアラートでは 、365 で自動調査とOffice発生する場合がありますSome alerts can trigger automated investigation and response in Office 365. 365 の機能を使用Office Microsoft Defender が正しく構成されていることを確認します。Make sure your Microsoft Defender for Office 365 features are configured correctly.

特定のアラートとセキュリティ ポリシーによって自動調査がトリガーされる場合は、電子メールとコンテンツに対して修復アクションは自動的に実行されません。Although certain alerts and security policies can trigger automated investigations, no remediation actions are taken automatically for email and content. 代わりに、電子メールおよび電子メール コンテンツのすべての修復アクションは、アクション センターのセキュリティ運用チームによる承認を 待っていますInstead, all remediation actions for email and email content await approval by your security operations team in the Action center.

365 Officeのセキュリティ設定は、電子メールとコンテンツの保護に役立ちます。Security settings in Office 365 help protect email and content. これらの設定を表示または変更するには、「脅威から保護する 」のガイダンスに従いますTo view or change these settings, follow the guidance in Protect against threats.

  1. Microsoft 365 セキュリティ センター ( ) で https://security.microsoft.com 、[ポリシーの脅威の保護 ] > に移動しますIn the Microsoft 365 security center (https://security.microsoft.com), go to Policies > Threat protection.
  2. 次のすべてのポリシーが構成されていることを確認します。Make sure all of the following policies are configured. ヘルプと推奨事項を取得するには、「脅威から保護 する」を参照してくださいTo get help and recommendations, see Protect against threats.
  3. Microsoft Defender for Office SharePoint、OneDrive、および Microsoft Teams の 365 が有効になっていることを確認します。Make sure Microsoft Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams is turned on.
  4. メール保護 のための 0 時間の自動削除が 有効になってください。Make sure zero-hour auto purge for email protection is in effect.
  5. (この手順は省略可能です)。Microsoft 365 コンプライアンス Office () の 365 アラート ポリシーを確認します https://compliance.microsoft.com/compliancepolicies(This step is optional.) Review your Office 365 alert policies in the Microsoft 365 compliance center (https://compliance.microsoft.com/compliancepolicies). いくつかの既定のアラート ポリシーは、[脅威の管理] カテゴリに表示されます。Several default alert policies are in the Threat management category. これらのアラートの中には、自動調査と応答をトリガーする場合があります。Some of these alerts can trigger automated investigation and response. 詳細については、「既定のアラート ポリシー」を参照してくださいTo learn more, see Default alert policies.

Microsoft 365 Defender がオンになっていることを確認するMake sure Microsoft 365 Defender is turned on

MTP on

  1. Microsoft 365 セキュリティ センター ( ) に移動し https://security.microsoft.com 、サインインします。Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. ナビゲーション ウィンドウで、前の図 に示すように、インシデント、アクション センター、および ハン ティングを探します。In the navigation pane, look for Incidents, Action center, and Hunting, as shown in the preceding image.
    • [インシデント] 、[****アクション センター] 、および [ハンティング] が表示 されている 場合は、Microsoft 365 Defender がオンです。If you see Incidents, Action center, and Hunting, Microsoft 365 Defender is turned on. デバイス グループのオートメーション レベルを確認または変更する 手順 (この記事)を参照してください。See the procedure, Review or change the automation level for device groups (in this article).
    • インシデント、アクション センターまたは ハンティングが表示されない場合は、Microsoft 365 Defender が有効ではない可能性があります。If you do not see Incidents, Action center, or Hunting, then Microsoft 365 Defender might not be turned on. この場合は、アクション センターに [アクセスする] に進みますIn this case, proceed to Visit the Action center).
  3. ナビゲーション ウィンドウで、[設定] > [Microsoft 365 Defender] を選択しますIn the navigation pane, choose Settings > Microsoft 365 Defender. Microsoft 365 Defender がオンになっていることを確認します。Confirm that Microsoft 365 Defender is turned on.

次の手順Next steps