脅威の調査および対応Threat investigation and response

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

対象Applies To

Microsoft Defender for Office 365の脅威調査と対応機能は、セキュリティ アナリストと管理者が、次の方法で組織のMicrosoft 365を保護するのに役立ちます。Threat investigation and response capabilities in Microsoft Defender for Office 365 help security analysts and administrators protect their organization's Microsoft 365 for business users by:

  • サイバー攻撃の特定、監視、および理解を容易に行うMaking it easy to identify, monitor, and understand cyberattacks
  • オンライン、オンライン、オンライン、Exchange Online、SharePointの脅威に迅速OneDrive for Business対処Microsoft TeamsHelping to quickly address threats in Exchange Online, SharePoint Online, OneDrive for Business and Microsoft Teams
  • セキュリティ操作が組織に対するサイバー攻撃を防ぐのに役立つ洞察と知識を提供するProviding insights and knowledge to help security operations prevent cyberattacks against their organization
  • 電子メールベースの重大な脅威に対するOffice 365の自動調査と対応を採用するEmploying automated investigation and response in Office 365 for critical email-based threats

脅威の調査と対応機能は、セキュリティ コンプライアンス センターで利用可能な脅威と関連する対応アクションに関する&提供します。Threat investigation and response capabilities provide insights into threats and related response actions that are available in the Security & Compliance Center. これらの分析情報は、組織のセキュリティ チームが電子メールまたはファイル ベースの攻撃からユーザーを保護するのに役立ちます。These insights can help your organization's security team protect users from email- or file-based attacks. この機能は、信号を監視し、ユーザーアクティビティ、認証、電子メール、侵害された PC、セキュリティ インシデントなど、複数のソースからのデータを収集するのに役立ちます。The capabilities help monitor signals and gather data from multiple sources, such as user activity, authentication, email, compromised PCs, and security incidents. ビジネス上の意思決定者とセキュリティ運用チームは、この情報を使用して、組織に対する脅威を理解し、対応し、知的財産を保護することができます。Business decision makers and your security operations team can use this information to understand and respond to threats against your organization and protect your intellectual property.

脅威の調査と対応ツールについて知るGet acquainted with threat investigation and response tools

脅威の調査と対応機能は、次&含む一連のツールと対応ワークフローとして、セキュリティ コンプライアンス センターに表示されます。Threat investigation and response capabilities surface in the Security & Compliance Center, as a set of tools and response workflows, including the following:

脅威ダッシュボードThreat dashboard

脅威ダッシュボード (これはセキュリティ ダッシュボードとも呼ばれます)を使用して、対処された脅威をすばやく確認し、Microsoft 365 サービスがビジネスをセキュリティで保護している方法をビジネス意思決定者に視覚的に報告します。Use the Threat dashboard (this is also referred to as the Security dashboard) to quickly see what threats have been addressed, and as a visual way to report to business decision makers how Microsoft 365 services are securing your business.

脅威ダッシュボード

このダッシュボードを表示して使用するには、セキュリティ &コンプライアンス センターで、[脅威管理ダッシュボード] に移動 > しますTo view and use this dashboard, in the Security & Compliance Center, go to Threat management > Dashboard.

脅威エクスプローラーThreat Explorer

脅威 エクスプローラー (およびリアルタイム の検出) を使用して、脅威を分析し、時間の間に攻撃の量を確認し、脅威ファミリ、攻撃者インフラストラクチャなどによってデータを分析します。Use Threat Explorer (and real-time detections) to analyze threats, see the volume of attacks over time, and analyze data by threat families, attacker infrastructure, and more. 脅威エクスプローラー (エクスプローラーとも呼ばれます) は、セキュリティ アナリストの調査ワークフローの開始場所です。Threat Explorer (also referred to as Explorer) is the starting place for any security analyst's investigation workflow.

脅威エクスプローラー

このレポートを表示して使用するには、セキュリティ &コンプライアンス センターで、[脅威管理エクスプローラー] に移動 > しますTo view and use this report, in the Security & Compliance Center, go to Threat management > Explorer.

インシデントIncidents

フライト セキュリティ インシデントの一覧を表示するには、[インシデント] リスト (これは [調査] とも呼ばれる) を使用します。Use the Incidents list (this is also called Investigations) to see a list of in flight security incidents. インシデントは、疑わしい電子メール メッセージなどの脅威を追跡し、さらに調査と修復を行う場合に使用されます。Incidents are used to track threats such as suspicious email messages, and to conduct further investigation and remediation.

現在の脅威インシデントの一覧 (Office 365

組織の現在のインシデントの一覧を表示するには、セキュリティ コンプライアンス センターで、[脅威&レビュー インシデント] に > > 移動しますTo view the list of current incidents for your organization, in the Security & Compliance Center, go to Threat management > Review > Incidents.

セキュリティ コンプライアンス センターで&の管理レビューを選択 > します。

攻撃シミュレーターAttack Simulator

攻撃シミュレーターを使用して、組織内で現実的なサイバー攻撃を設定して実行し、実際のサイバー攻撃がビジネスに影響を与える前に脆弱なユーザーを特定します。Use Attack Simulator to set up and run realistic cyberattacks in your organization, and identify vulnerable people before a real cyberattack affects your business. 詳細については、「攻撃シミュレーター 」を参照Office 365。To learn more, see Attack Simulator in Office 365.

自動調査および対応Automated investigation and response

自動調査と応答 (AIR) 機能を使用して、組織内の脅威から危険にさらされているコンテンツ、デバイス、およびユーザーを関連付ける時間と労力を節約します。Use automated investigation and response (AIR) capabilities to save time and effort correlating content, devices, and people at risk from threats in your organization. AIR プロセスは、特定のアラートがトリガーされるたびに、またはセキュリティ運用チームによって開始されるたびに開始できます。AIR processes can begin whenever certain alerts are triggered, or when started by your security operations team. 詳細については、「自動調査と応答」を参照Office 365。To learn more, see automated investigation and response in Office 365.

脅威インテリジェンス ウィジェットThreat intelligence widgets

Microsoft Defender for Office 365プラン 2 の提供の一環として、セキュリティ アナリストは既知の脅威に関する詳細を確認できます。As part of the Microsoft Defender for Office 365 Plan 2 offering, security analysts can review details about a known threat. これは、ユーザーを安全に保つために実行できる追加の予防措置/手順が含まれるかどうかを判断する場合に役立ちます。This is useful to determine whether there are additional preventative measures/steps that can be taken to keep users safe.

最近の脅威に関する情報を示すセキュリティの傾向

これらの機能を取得する方法How do we get these capabilities?

Microsoft 365の脅威調査と対応機能は、Enterprise E5 または特定のサブスクリプションのアドオンとして含まれる Office 365 プラン 2 の Microsoft Defender に含まれています。Microsoft 365 threat investigation and response capabilities are included in Microsoft Defender for Office 365 Plan 2, which is included in Enterprise E5 or as an add-on to certain subscriptions. 詳細については、「Defender for Office 365 1」および「Plan 2」を参照してくださいTo learn more, see Defender for Office 365 Plan 1 and Plan 2.

必要な役割と権限Required roles and permissions

Microsoft Defender for Office 365ロール ベースのアクセス制御を使用します。Microsoft Defender for Office 365 uses role-based access control. アクセス許可は、Azure Active Directory管理センター、Microsoft 365コンプライアンス センターの特定の役割&割り当てられます。Permissions are assigned through certain roles in Azure Active Directory, the Microsoft 365 admin center, or the Security & Compliance Center.

ヒント

セキュリティ管理者などの一部の役割はセキュリティ & コンプライアンス センターで割り当てることができますが、代わりに Microsoft 365 管理センターまたはセキュリティ Azure Active Directoryを使用Azure Active Directoryしてください。Although some roles, such as Security Administrator, can be assigned in the Security & Compliance Center, consider using either the Microsoft 365 admin center or Azure Active Directory instead. 役割、役割グループ、およびアクセス許可の詳細については、次のリソースを参照してください。For information about roles, role groups, and permissions, see the following resources:


アクティビティActivity ロールと権限Roles and permissions
脅威ダッシュボード (または新しいセキュリティ ダッシュボード) を使用するUse the Threat dashboard (or the new Security dashboard)

最近または現在の脅威に関する情報を表示するView information about recent or current threats

以下のいずれか:One of the following:
  • グローバル管理者Global Administrator
  • セキュリティ管理者Security Administrator
  • セキュリティ リーダーSecurity Reader

これらの役割は、管理者センター ( ) または Azure Active Directory ( https://portal.azure.com ) でMicrosoft 365割り当てることができます https://admin.microsoft.comThese roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

脅威 エクスプローラー (およびリアルタイム検出) を使用して脅威 を分析するUse Threat Explorer (and real-time detections) to analyze threats 以下のいずれか:One of the following:
  • グローバル管理者Global Administrator
  • セキュリティ管理者Security Administrator
  • セキュリティ リーダーSecurity Reader

これらの役割は、管理者センター ( ) または Azure Active Directory ( https://portal.azure.com ) でMicrosoft 365割り当てることができます https://admin.microsoft.comThese roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

インシデントの表示 (調査とも呼ばれます)View Incidents (also referred to as Investigations)

インシデントへの電子メール メッセージの追加Add email messages to an incident

以下のいずれか:One of the following:
  • グローバル管理者Global Administrator
  • セキュリティ管理者Security Administrator
  • セキュリティ リーダーSecurity Reader

これらの役割は、管理者センター ( ) または Azure Active Directory ( https://portal.azure.com ) でMicrosoft 365割り当てることができます https://admin.microsoft.comThese roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

インシデントで電子メール アクションをトリガーするTrigger email actions in an incident

疑わしいメール メッセージの検索と削除Find and delete suspicious email messages

以下のいずれか:One of the following:
  • グローバル管理者Global Administrator
  • セキュリティ管理者 と検索 と削除の役割Security Administrator plus the Search and Purge role

グローバル 管理者とセキュリティ****管理者の 役割は、管理者 ( ) または管理者センター ( ) でAzure Active Directory割 https://portal.azure.com りMicrosoft 365割り当てることができます https://admin.microsoft.comThe Global Administrator and Security Administrator roles can be assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

検索 と削除の役割 は、セキュリティ コンプライアンス センター () &割り当てる必要があります https://protection.office.comThe Search and Purge role must be assigned in the Security & Compliance Center (https://protection.office.com).

Microsoft Defender for Office 365プラン 2 と Microsoft Defender for Endpoint を統合するIntegrate Microsoft Defender for Office 365 Plan 2 with Microsoft Defender for Endpoint

Microsoft Defender for Office 365プラン 2 を SIEM サーバーに統合するIntegrate Microsoft Defender for Office 365 Plan 2 with a SIEM server

[グローバル 管理者] または[セキュリティ管理者] の役割が 、Azure Active Directory ( ) または管理者センター ( ) にMicrosoft 365 https://portal.azure.com 割り当てられます https://admin.microsoft.comEither the Global Administrator or the Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or the Microsoft 365 admin center (https://admin.microsoft.com).

--- plus --- --- plus ---

追加のアプリケーションで割り当てられた適切な役割(Microsoft Defender セキュリティ センター SIEM サーバーなど)。An appropriate role assigned in additional applications (such as Microsoft Defender Security Center or your SIEM server).

次の手順Next steps