Office 365 の脅威を自動的に調査し対応するAutomatically investigate and respond to threats in Office 365

概要Overview

サブスクリプションに応じて、 Office 365 Advanced Threat Protectionには、セキュリティ運用チームの時間と、アラートと脅威を処理するための労力を節約できる自動化された調査と応答 (航空) 機能が含まれることがあります。Depending on your subscription, Office 365 Advanced Threat Protection can include automated investigation and response (AIR) capabilities that can save your security operations team time and effort in dealing with alerts and threats.

ヒント

Microsoft 365 E5 または Microsoft 365 E3 と Id & 脅威保護を組み合わせて使用していますか?Do you have Microsoft 365 E5 or Microsoft 365 E3 together with Identity & Threat Protection? Microsoft の脅威保護で自動調査と応答 (AIR)を試行することを検討してください。Consider trying Automated investigation and response (AIR) in Microsoft Threat Protection.

自動調査と応答機能を使用すると、特定のアラートがトリガーされると、1つ以上のセキュリティプレイブックが開始され、自動調査プロセスが開始されます。With automated investigation and response capabilities, when certain alerts are triggered, one or more security playbooks initiate, and the automated investigation process begins. 自動化された調査プロセスにおいて、セキュリティチームは次のことを行うことができます。During and after an automated investigation process, your security team can do the following:

重要

この記事で説明されているタスクを実行するには、適切なアクセス許可が割り当てられている必要があります。To perform the tasks described in this article, you must have appropriate permissions assigned. AIR 機能を使用するには、必要なアクセス許可を参照してください。See required permissions to use AIR capabilities.

調査の詳細を表示するView details of an investigation

  1. https://protection.office.com移動し、サインインします。Go to https://protection.office.com and sign in. これにより、セキュリティ & コンプライアンスセンターに移動できます。This takes you to the the Security & Compliance Center.

  2. 次のいずれかの操作を行います。Do one of the following:

    • [脅威管理 > ]ダッシュボードに移動します。Go to Threat management > Dashboard. これにより、セキュリティダッシュボードが表示されます。This takes you to the Security Dashboard. エアウィジェットは、セキュリティダッシュボードの上部に表示されます。Your AIR widgets appear across the top of the Security Dashboard. 調査の概要などのウィジェットを選択します。Select a widget, such as Investigations summary.

    • [脅威管理 > の調査] に移動します。Go to Threat management > Investigations.

    どちらの方法でも、調査の一覧を取得できます。Either method takes you to a list of investigations.

    AIR のメインの調査ページ

  3. 調査の一覧で、[ ID ] 列のアイテムを選択します。In the list of investigations, select an item in the ID column. これにより、調査の詳細ページが開き、[調査] グラフが表示されます。This opens investigation details page, starting with the investigation graph in view.

    ARI の [調査グラフ] ページ

  4. 調査の詳細については、さまざまなタブを使用してください。Use the various tabs to learn more about the investigation.

アクションの確認と承認Review and approve actions

Office 365 では、通常、自動調査は1つまたは複数の推奨されるアクションになります。In Office 365, automated investigations typically result in one or more recommended actions. ただし、セキュリティ運用チームによって承認されるまで、アクションは実行されません。However, no actions are taken until they are approved by your security operations team. アクションを確認して承認するには、以下の手順を使用します。Use the following procedure to review and approve actions.

  1. https://protection.office.com移動し、サインインします。Go to https://protection.office.com and sign in.

  2. [脅威管理 > の調査] に移動します。Go to Threat management > Investigations.

  3. 調査の一覧で、[ ID ] 列のアイテムを選択します。In the list of investigations, select an item in the ID column.

  4. 調査の詳細ビューで、[操作] タブを選択します。承認待ちのすべてのアクションがここに表示されます。On the investigation details view, select the Actions tab. Any actions that are pending approval are listed here.

  5. リストからアイテムを選択します。Select an item in the list.

  6. 推奨されるアクションを実行する場合は [承認] を選択します (アクションを行わずに調査を終了する場合は拒否)。Select Approve to take the recommended action (or Reject to close the investigation without taking action).

特定の種類の通知では、Office 365 で自動調査がトリガーされます。Certain kinds of alerts trigger automated investigation in Office 365. 詳細については、「 Alerts」を参照してください。To learn more, see Alerts. 次の手順を使用して、自動調査に関連付けられている通知の詳細を表示します。Use the following procedure to view details about an alert that is associated with an automated investigation.

  1. https://protection.office.com移動し、サインインします。Go to https://protection.office.com and sign in. これにより、セキュリティ & コンプライアンスセンターに移動できます。This takes you to the the Security & Compliance Center.

  2. [脅威管理 > の調査] に移動します。Go to Threat management > Investigations.

  3. 調査の一覧で、[ ID ] 列のアイテムを選択します。In the list of investigations, select an item in the ID column.

  4. 調査の詳細を開いた状態で、[通知] タブを選択します。調査をトリガーしたアラートが一覧表示されています。With details of an investigation open, select the Alerts tab. Any alerts that triggered the investigation are listed here.

  5. リストからアイテムを選択します。Select an item in the list. ポップアップが開き、通知に関する詳細と追加情報およびアクションへのリンクが表示されます。A flyout opens, with details about the alert and links to additional information and actions.

  6. ポップアップの情報を確認し、特定の通知に応じて、ユーザーの解決抑制、または通知などのアクションを実行します。Review the information on the flyout, and, depending on the particular alert, take an action, such as Resolve, Suppress, or Notify users.

    • 解決は通知を閉じることと同じです。Resolve is equivalent to closing an alert

    • 抑制すると、指定した期間、ポリシーがアラートをトリガーしなくなります。Suppress causes a policy to not trigger alerts for a specified period of time

    • 通知ユーザーに既に入力されたユーザーのメールアドレスを使用してメールを開始し、セキュリティ運用チームがそれらのユーザーにメッセージを入力できるようにします。Notify users starts an email with users' email addresses already entered, and enables your security operations team to type a message to those users. (これは、脅威エクスプローラーを使用してメッセージを受信者に送信するのと似ています。)(This is similar to sending a message to recipients using Threat Explorer.)

カスタムまたはサードパーティのレポートソリューションに Office 365 Management Activity API を使用するUse the Office 365 Management Activity API for custom or third-party reporting solutions

組織でカスタムまたはサードパーティのレポートソリューションを使用している場合は、Office 365 Management Activity API を使用して、そのソリューションの自動化された調査に関する情報を表示できます。If your organization is using a custom or third-party reporting solution, you can view information about automated investigations in that solution by using the Office 365 Management Activity API.

これを設定するには、次のリソースを使用します。Use the following resources to set this up:

ResourceResource 説明Description
Office 365 管理 API の概要Office 365 Management APIs overview Office 365 管理アクティビティ API は、Office 365 と Azure Active Directory のアクティビティ ログからの、ユーザー、管理者、システム、およびポリシー アクションとポリシー イベントについての情報を提供します。The Office 365 Management Activity API provides information about various user, admin, system, and policy actions and events from Office 365 and Azure Active Directory activity logs.
Office 365 管理 API の使用を開始するGet started with Office 365 Management APIs Office 365 管理 API は、Azure AD を使用して、アプリケーションが Office 365 データにアクセスするための認証サービスを提供します。The Office 365 Management API uses Azure AD to provide authentication services for your application to access Office 365 data. これを設定するには、この記事の手順に従います。Follow the steps in this article to set this up.
Office 365 管理アクティビティ API リファレンスOffice 365 Management Activity API reference Office 365 Management Activity API を使用して、Office 365 および Azure AD のアクティビティログから、ユーザー、管理者、システム、およびポリシーのアクションとイベントに関する情報を取得することができます。You can use the Office 365 Management Activity API to retrieve information about user, admin, system, and policy actions and events from Office 365 and Azure AD activity logs. この機能の詳細については、この記事を参照してください。Read this article to learn more about how this works.
Office 365 管理アクティビティ API のスキーマOffice 365 Management Activity API schema Office 365 Management Activity API を通じて使用できる特定の種類のデータについて理解するために、共通スキーマOFFICE 365 の ATP および脅威の調査および応答スキーマの概要を説明します。Get an overview of the Common schema and the Office 365 ATP and threat investigation and response schema to learn about specific kinds of data available through the Office 365 Management Activity API.

次の手順Next steps