Microsoft Defender Advanced Threat Protection の警告を調査する

適用対象:

Microsoft Defender ATP を体験するには、 無料試用版にサインアップしてください。

ネットワークに影響しているかどうかを調べ、その意味とその解決方法について説明します。

アラートをクリックすると、アラートの詳細ビューと、アラートに関する情報を提供するさまざまなタイルが表示されます。

アラートの詳細表示では、アラートを管理することができ、重要度、カテゴリ、手法などのアラートデータと、それらの方法をより適切に判断するのに役立つその他の情報が表示されます。

カードに反映される手法は、 MITRE のエンタープライズ手法に基づいています。

また、右上隅に自動調査の状態も表示されます。 リンクをクリックすると、自動調査ビューに移動します。 詳細については、「自動調査」を参照してください。

アラート ページの画像

アラートのコンテキストのタイルには、アラートのコンテキストの場所、対象ユーザー、時間が示されます。 他のページと同様に、名前またはユーザー アカウントの横にあるアイコンをクリックすると、コンピューターまたはユーザーの詳細ページが表示されます。 アラートの詳細ビューには、キュー内のアラートの状態を示す状態タイルもあります。 説明および展開可能な推奨される操作も表示されます。

アラートを管理する方法について詳しくは、「アラートの管理」をご覧ください。

アラートの詳細ページには、アラート プロセス ツリー、インシデント グラフ、アーティファクトのタイムラインも示されます。

アラート ビューからコンピューターのリンクをクリックすると、そのコンピューターに移動します。 アラートは自動的に強調表示され、タイムラインにはアラートの外観が、コンピューターのタイムラインにはアラートの根拠が表示されます。 アラートがコンピューターで複数回表示されていた場合は、コンピューターのタイムラインに最新の発生が表示されます。

敵対者やアクターに起因するアラートには、色付きのタイルとアクター名が表示されます。

クリックすると表示されるアラートの詳細ビュー

アクターの名前をクリックすると、アクターの脅威インテリジェンスプロファイルが表示されます。これには、アクターの概要、関連項目、ターゲット、ツール、戦術、プロセス (TTPs)、および世界各地で監視されている分野が含まれます。 また、推奨される一連のアクションも表示されます。

一部のアクターのプロファイルには、より包括的な脅威インテリジェンス レポートをダウンロードできるリンクが含まれています。

アクターの詳細プロファイルの画像

アラートの詳細プロファイルは、攻撃者の概要、攻撃の対象者、攻撃者が使用する手法、ツール、手順 (TTP)、攻撃者が活動している地域、さらに、推奨される対策を理解するのに役立ちます。 多くの場合、この攻撃者やキャンペーンに関して、オフラインで参照するための詳細な脅威インテリジェンス レポートをダウンロードできます。

アラート プロセス ツリー

警告プロセスツリーでは、次のレベルに対する警告の優先順位付けと調査が行われます。これには、集約されたアラートと、同じ実行コンテキストと期間内で発生した証拠が表示されます。 この豊富なトリアージと調査のコンテキストは、[通知] ページで確認できます。

アラート プロセス ツリーの画像

アラート処理ツリーが展開され、同じ期間中に発生したアラートと関連する証拠の実行パスが表示されます。 Thunderbolt アイコンでマークされたアイテムは、調査中に優先度を与える必要があります。

注意

一部の通知では、プロセスアクティビティによって直接トリガーされないアラートなど、通知プロセスツリーが表示されない場合があります。

インジケーターの左側にある円をクリックすると、その詳細が表示されます。

アラートの詳細ウィンドウの画像

アラートの詳細ウィンドウでは、アラートの詳細を確認できます。 アラートの詳細ウィンドウには、実行の詳細、ファイルの詳細、検出内容、世界での観察状況、組織内での観察状況と、エンティティのページから取得されたその他の詳細が表示されます。ただし、アラート ページの残りの部分はそのまま表示されているので、調査の現在のコンテキストを離れる必要はありません。

インシデント グラフ

インシデント グラフは、アラートとその証拠の組織的なフットプリント (アラートをトリガーした証拠が他のコンピューターで確認された場所) を視覚的に表します。 元のコンピューターや証拠からのグラフィカルなマッピングが提供され、展開するとトリガーとなった証拠が確認された組織内の他のコンピューターが表示されます。

インシデント グラフの画像

インシデント グラフは、必要に応じて、ファイル、プロセス、コマンド ライン、または宛先 IP アドレスごとの展開をサポートします。

宛先 IP アドレスによる インシデント グラフ の展開では、IP アドレス ページに移動することにより、コンテキストを変更することなく、この IP アドレスとの通信について組織内のフットプリントを表示します。

インシデント グラフ上の円をクリックすると、ノードが展開され、一致する条件が確認された他のコンピューターが表示されます。

アーティファクトのタイムライン

成果物のタイムライン機能には、コンピューターでアラートをトリガーした証拠の追加ビューが用意されています。また、アラートをトリガーした証拠が監視された日時と、コンピューターで初めて監視されたときも表示されます。 これにより、アラートの証拠がアラートの時点で初めて確認されたのか、コンピューターで以前に確認されていたが、アラートがトリガーされなかったのかを把握できます。

アーティファクトのタイムラインの画像

アラートの詳細を選択すると詳細ウィンドウが表示され、ファイルの詳細、検出内容、世界および組織内で検出されている他のインスタンスを確認できます。

関連トピック