Microsoft 365 Defender の修復アクションRemediation actions in Microsoft 365 Defender

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

修復アクションRemediation actions

Microsoft 365 Defender での自動調査中および後に、悪意のあるアイテムや疑わしいアイテムに対する修復アクションが識別されます。During and after an automated investigation in Microsoft 365 Defender, remediation actions are identified for malicious or suspicious items. 一部の種類の修復アクションは、エンドポイントとも呼ばれるデバイスで実行されます。Some kinds of remediation actions are taken on devices, also referred to as endpoints. その他の修復アクションは、メール コンテンツに対して実行されます。Other remediation actions are taken on email content. 修復アクションを実行、承認、または拒否した後、自動調査が完了します。Automated investigations complete after remediation actions are taken, approved, or rejected.

重要

修復アクションが自動的に実行されるのか、承認時にのみ実行されるのかは、オートメーション レベルなどの特定の設定によって異なります。Whether remediation actions are taken automatically or only upon approval depends on certain settings, such as how automation levels. 詳細については、次の記事を参照してください。To learn more, see the following articles:

次の表に、Microsoft 365 Defender で現在サポートされている修復アクションの概要を示します。The following table summarizes remediation actions that are currently supported in Microsoft 365 Defender:

デバイス (エンドポイント) 修復アクションDevice (endpoint) remediation actions メールの修復アクションEmail remediation actions
- 調査パッケージの収集- Collect investigation package
- デバイスを分離する (この操作は元に戻すことができます)- Isolate device (this action can be undone)
- オフボード マシン- Offboard machine
- リリース コードの実行- Release code execution
- 検疫からの解放- Release from quarantine
- 要求サンプル- Request sample
- コードの実行を制限する (このアクションは元に戻すことができます)- Restrict code execution (this action can be undone)
- ウイルス対策スキャンを実行する- Run antivirus scan
- 停止と検疫- Stop and quarantine
- ブロック URL (クリック時)- Block URL (time-of-click)
- 電子メール メッセージまたはクラスターを削除する- Soft delete email messages or clusters
- 検疫メール- Quarantine email
- メールの添付ファイルを検疫する- Quarantine an email attachment
- 外部メール転送を無効にする- Turn off external mail forwarding

修復アクションは、保留中の承認または既に完了したかどうかに関して、アクション センターで 表示できますRemediation actions, whether pending approval or already complete, can be viewed in the Action Center.

自動調査に従う修復アクションRemediation actions that follow automated investigations

自動調査が完了すると、関連するあらゆる証拠に対して評決が下されます。When an automated investigation completes, a verdict is reached for every piece of evidence involved. 評決に応じて、修復アクションが識別されます。Depending on the verdict, remediation actions are identified. 修復アクションが自動的に実行される場合もあれば、修復アクションが承認を待機する場合もあります。In some cases, remediation actions are taken automatically; in other cases, remediation actions await approval. すべては、自動調査 と応答の構成方法によって異なりますIt all depends on how automated investigation and response is configured.

考えられる判定と結果を次の表に示します。The following table lists possible verdicts and outcomes:

判定Verdict 分野Area 結果Outcomes
Malicious (悪意のある)Malicious デバイス (エンドポイント)Devices (endpoints) 修復アクションは自動的に実行されます (組織の デバイス グループが完全に設定されている場合 - 脅威 を自動的に修復する)Remediation actions are taken automatically (assuming your organization's device groups are set to Full - remediate threats automatically)
Malicious (悪意のある)Malicious メールのコンテンツ (URL または添付ファイル)Email content (URLs or attachments) 推奨される修復アクションが承認待ちになりますRecommended remediation actions are pending approval
Suspicious (不審)Suspicious デバイスまたはメールのコンテンツDevices or email content 推奨される修復アクションが承認待ちになりますRecommended remediation actions are pending approval
脅威は検出されませんでしたNo threats found デバイスまたはメールのコンテンツDevices or email content 必要な修復アクションはありませんNo remediation actions are needed

手動で実行される修復アクションRemediation actions that are taken manually

自動調査に続く修復アクションに加えて、セキュリティ運用チームは特定の修復アクションを手動で実行できます。In addition to remediation actions that follow automated investigations, your security operations team can take certain remediation actions manually. これには、次のアクションが含まれます。These include the following actions:

  • デバイスの分離やファイル検疫などのデバイスの手動操作。Manual device action, such as device isolation or file quarantine.
  • 電子メール メッセージのソフト削除など、手動の電子メール アクション。Manual email action, such as soft-deleting email messages.
  • デバイスまたは電子メール での高度なハンティング アクション。Advanced hunting action on devices or email.
  • 迷惑 メールへのメールの移動、メールのソフト削除、メールのハード削除など、電子メール コンテンツに対するエクスプローラー アクション。Explorer action on email content, such as moving email to junk, soft-deleting email, or hard-deleting email.
  • ファイル の削除 、プロセスの停止、スケジュールされたタスクの削除などの手動のライブ応答アクション。Manual live response action, such as deleting a file, stopping a process, and removing a scheduled task.
  • Microsoft Defender for Endpoint APIを使用したライブ応答アクション (デバイスの分離、ウイルス対策スキャンの実行、ファイルに関する情報の取得など)。Live response action with Microsoft Defender for Endpoint APIs, such as isolating a device, running an antivirus scan, and getting information about a file.

次の手順Next steps