Microsoft Defender での自動調査と対応の仕組みOffice 365How automated investigation and response works in Microsoft Defender for Office 365

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象Applies to

セキュリティアラートがトリガーされると、セキュリティ運用チームがこれらのアラートを確認し、組織を保護するための手順を実行する必要があります。As security alerts are triggered, it's up to your security operations team to look into those alerts and take steps to protect your organization. 場合によっては、セキュリティ運用チームがトリガーされるアラートの量に圧倒される場合があります。Sometimes, security operations teams can feel overwhelmed by the volume of alerts that are triggered. Microsoft Defender の自動調査と応答 (AIR) 機能は、Office 365役立ちます。Automated investigation and response (AIR) capabilities in Microsoft Defender for Office 365 can help.

AIR を使用すると、セキュリティ運用チームは、より効率的かつ効果的に運用できます。AIR enables your security operations team to operate more efficiently and effectively. AIR 機能には、現在存在する既知の脅威に対応する自動調査プロセスが含まれます。AIR capabilities include automated investigation processes in response to well-known threats that exist today. 適切な修復アクションは承認を待ち、セキュリティ運用チームが検出された脅威に対応できます。Appropriate remediation actions await approval, enabling your security operations team to respond to detected threats.

この記事では、いくつかの例を通して AIR がどのように動作するのかについて説明します。This article describes how AIR works through several examples. AIR の使用を開始する準備ができたら、「脅威を自動的に調査 して対応する」を参照してくださいWhen you're ready to get started using AIR, see Automatically investigate and respond to threats.

例: ユーザーから報告されたフィッシング メッセージによる調査プレイブックの起動Example: A user-reported phish message launches an investigation playbook

組織内のユーザーがフィッシング詐欺の試みと思うメールを受信したとします。Suppose that a user in your organization receives an email that they think is a phishing attempt. このようなメッセージを報告するトレーニングを受けたユーザーは、レポート メッセージ アドインまたはレポート フィッシング アドインを使用して、分析のために Microsoft に送信します。The user, trained to report such messages, uses the Report Message add-in or the Report Phishing add-in to send it to Microsoft for analysis. 申請はシステムにも送信され、[申請] ビュー (以前はユーザーレポート ビューと呼ばば) の エクスプローラーに表示 されます。The submission is also sent to your system and is visible in Explorer in the Submissions view (formerly referred to as the User-reported view). さらに、ユーザーが報告したメッセージによってシステムベースの情報アラートがトリガーされ、調査プレイブックが自動的に起動されます。In addition, the user-reported message now triggers a system-based informational alert, which automatically launches the investigation playbook.

ルート調査フィーズでは、メールのさまざまな側面が評価されます。During the root investigation phase, various aspects of the email are assessed. これらの側面は次のとおりです。These aspects include:

  • 可能性のある脅威の種類の特定A determination about what type of threat it might be;
  • 誰が送信したかWho sent it;
  • メールはどこから送信されたか (送信元のインフラストラクチャ)Where the email was sent from (sending infrastructure);
  • メールの他のインスタンスは、配信されたのか、それともブロックされたのかWhether other instances of the email were delivered or blocked;
  • Microsoft のアナリストによる評価An assessment from our analysts;
  • メールが既知のキャンペーンと関連するものかどうかWhether the email is associated with any known campaigns;
  • その他and more.

ルート調査が完了すると、元のメールとそれに関連付けられているエンティティに対する推奨処理の一覧がプレイブックにより提供されます。After the root investigation is complete, the playbook provides a list of recommended actions to take on the original email and entities associated with it.

次に、脅威の調査と捜索のための手順がいくつか実行されます。Next, several threat investigation and hunting steps are executed:

  • 同様の電子メール メッセージは、電子メール クラスター検索を介して識別されます。Similar email messages are identified via email cluster searches.
  • 信号は、Microsoft Defender for Endpoint などの 他のプラットフォームと共有されますThe signal is shared with other platforms, such as Microsoft Defender for Endpoint.
  • 不審なメール メッセージ内の悪意のあるリンクをユーザーがクリックしたかどうかが判断されます。A determination is made on whether any users have clicked through any malicious links in suspicious email messages.
  • ユーザーによって報告される他の同様のメッセージExchange Online Protection (EOP) と (Microsoft Defender for Office 365) の間でチェックが行われます。A check is done across Exchange Online Protection (EOP) and (Microsoft Defender for Office 365) to see if there are any other similar messages reported by users.
  • ユーザーに対する侵害があったかどうかがチェックされます。A check is done to see if a user has been compromised. このチェックでは、関連するユーザー アクティビティの異常をOffice 365、Microsoft Cloud App Security、Azure Active Directoryの信号を活用します。 This check leverages signals across Office 365, Microsoft Cloud App Security, and Azure Active Directory, correlating any related user activity anomalies.

捜索フェーズでは、リスクと脅威がさまざまな捜索手順に割り当てられます。During the hunting phase, risks and threats are assigned to various hunting steps.

修復は、プレイブックの最後のフェーズです。Remediation is the final phase of the playbook. このフェーズでは、調査および捜索フェーズに基づいて、修復手順が実行されます。During this phase, remediation steps are taken, based on the investigation and hunting phases.

例: セキュリティ管理者が脅威エクスプローラーから調査を開始するExample: A security administrator triggers an investigation from Threat Explorer

アラートによってトリガーされる自動調査に加えて、組織のセキュリティ運用チームは、脅威エクスプローラーのビューから自動調査 をトリガーできますIn addition to automated investigations that are triggered by an alert, your organization's security operations team can trigger an automated investigation from a view in Threat Explorer. また、この調査によってアラートが作成され、Microsoft Defender Incidents と外部 SIEM ツールは、この調査がトリガーされたと確認できます。This investigation also creates an alert, so that Microsoft Defender Incidents and external SIEM tools can see that this investigation was triggered.

たとえば、エクスプローラーでマルウェア ビューを 使用すると します。For example, suppose that you are using the Malware view in Explorer. グラフの下のタブを使用して、[メール] タブ を選択 します。リストで 1 つ以上のアイテムを選択すると 、[+ アクション] ボタンが アクティブ化されます。Using the tabs below the chart, you select the Email tab. If you select one or more items in the list, the + Actions button activates.

選択したメッセージを含むエクスプローラー

[アクション] メニューを 使用して、[調査のトリガー ] を選択できますUsing the Actions menu, you can select Trigger investigation.

選択したメッセージの [操作] メニュー

アラートによってトリガーされるプレイブックと同様、エクスプローラーのビューからトリガーされる自動調査には、ルート調査、脅威を特定して相関関連を特定するための手順、これらの脅威を軽減するための推奨処置が含まれます。Similar to playbooks triggered by an alert, automatic investigations that are triggered from a view in Explorer include a root investigation, steps to identify and correlate threats, and recommended actions to mitigate those threats.

例: セキュリティ運用チームは、セキュリティ管理アクティビティ API を使用して AIR と SIEM Office 365統合します。Example: A security operations team integrates AIR with their SIEM using the Office 365 Management Activity API

Microsoft Defender for Office 365の AIR 機能には、&を監視および対処するためにセキュリティ運用チームが使用できる詳細に関するレポートが含まれます。AIR capabilities in Microsoft Defender for Office 365 include reports & details that security operations teams can use to monitor and address threats. ただし、AIR 機能を他のソリューションと統合できます。But you can also integrate AIR capabilities with other solutions. たとえば、セキュリティ情報とイベント管理 (SIEM) システム、ケース管理システム、またはカスタム レポート ソリューションがあります。Examples include a security information and event management (SIEM) system, a case management system, or a custom reporting solution. これらの種類の統合は、管理アクティビティ API Office 365使用して実行できますThese kinds of integrations can be done by using the Office 365 Management Activity API.

たとえば、最近、組織はセキュリティ運用チームが AIR によって既に処理されたユーザーが報告したフィッシングアラートを表示する方法をセットアップしました。For example, recently, an organization set up a way for their security operations team to view user-reported phish alerts that were already processed by AIR. ソリューションは、関連するアラートを組織の SIEM サーバーとそのケース管理システムと統合します。Their solution integrates relevant alerts with the organization's SIEM server and their case-management system. このソリューションは、セキュリティ運用チームが実際の脅威に時間と労力を集中できるよう、誤検知の数を大幅に削減します。The solution greatly reduces the number of false positives so that their security operations team can focus their time and effort on real threats. このカスタム ソリューションの詳細については、「Tech Community blog: Improve the EFFECTIVENESS of your SOC with Microsoft Defender for Office 365」および「O365 Management API」を参照してください。To learn more about this custom solution, see Tech Community blog: Improve the Effectiveness of your SOC with Microsoft Defender for Office 365 and the O365 Management API.

次の手順Next steps