Microsoft Defender ATP Machines の一覧でコンピューターを調査する

適用対象:

Microsoft Defender ATP を体験するには、 無料試用版にサインアップしてください。

特定のコンピューターで発生したアラートの詳細を調査し、その他の動作や、違反の可能性がある可能性があるイベントを特定します。

影響を受けたコンピューターがポータルに表示されたら、それをクリックして、そのコンピューターに関する詳しいレポートを開くことができます。 影響を受けたコンピューターは、次の領域で特定されます。

特定のコンピューターを調査すると、次の情報が表示されます。

  • マシンの詳細
  • 対応アクション
  • カード (アクティブな警告、ログオンしているユーザー、セキュリティ評価)
  • タブ (警告、タイムライン、セキュリティの推奨事項、ソフトウェアインベントリ、検出された脆弱性)

コンピューター ビューの画像

マシンの詳細

[コンピューターの詳細] セクションには、コンピューターのドメイン、OS、正常性の状態などの情報が表示されます。 コンピューターで使用できる調査パッケージがない場合、パッケージをダウンロードできるリンクが表示されます。

対応アクション

応答アクションは、特定のコンピューターページの上部に沿って実行され、次の情報が含まれます。

  • タグを管理する
  • 自動調査の開始
  • ライブ応答セッションを開始する
  • 調査パッケージを収集する
  • ウィルス対策のスキャンを実行する
  • アプリの実行を制限する
  • コンピューターを分離する
  • 脅威の専門家に問い合わせる
  • アクション センター

アクションセンター、特定のコンピューターページ、または特定のファイルページで応答アクションを実行することができます。

コンピューターに対してアクションを実行する方法の詳細については、コンピューターへの対応アクションの実行に関するトピックをご覧ください。

詳しくは、ユーザー エンティティの調査に関するトピックをご覧ください。

カード

アクティブなアラート

Azure Advanced Threat Protectionカードには、azure ATP 機能を有効にしていて、アクティブなアラートがある場合に、コンピューターとそのリスクレベルに関連する警告の概要が表示されます。 詳細については、「アラート」のドリルダウンで確認できます。

アクティブな通知カードの画像

注意

この機能を使用するには、Azure ATP と Microsoft Defender ATP の両方の統合を有効にする必要があります。 Microsoft Defender ATP では、高度な機能でこの機能を有効にすることができます。 高度な機能を有効にする方法について詳しくは、「高度な機能を有効にする」をご覧ください。

ログオンしているユーザー

[ログオンしているユーザー] カードには、過去30日間にログオンしたユーザーの数が、最も頻繁に使用されるユーザーと共に表示されます。 [すべてのユーザーを表示] リンクを選択すると、詳細ウィンドウが開き、ユーザーの種類、ログオンの種類、ユーザーが最初に表示された日時、最後に表示された日時などの情報が表示されます。 詳しくは、ユーザー エンティティの調査に関するトピックをご覧ください。

ユーザーの詳細ウィンドウの画像

セキュリティの評価

セキュリティ評価カードは、全体的な露出レベル、セキュリティの推奨事項、インストールされているソフトウェア、および検出された脆弱性を示します。 マシンの露出レベルは、保留中のセキュリティ推奨事項の累積影響によって決まります。

セキュリティ評価カードの画像

タブ

[カード] セクションの下にある5つのタブには、コンピューターに関連する関連セキュリティと脅威の防止に関する情報が表示されます。 各タブで、列見出しの上にあるバーの [列のカスタマイズ] を選択して表示される列をカスタマイズできます。

アラート

[通知] セクションには、コンピューターに関連付けられているアラートの一覧が表示されます。 この一覧は、フィルター処理されたバージョンのアラートキューであり、アラートの短い説明 ([新規]、[進行中]、[低]、[通知])、[分類] (設定されていない、[エラー通知]、[true alert])、[調査の状態]、[通知]、[最後のアクティビティ] の順に表示 また、通知をフィルター処理することもできます。

コンピューターに関連する警告の画像

通知の左側にある円のアイコンが選択されている場合は、スライドアウトが表示されます。 このパネルで通知を管理し、インシデント番号や関連するマシンなどの詳細情報を表示することができます。 一度に複数の通知を選択できます。

インシデントグラフとプロセスツリーを含む、アラートの全ページビューを表示するには、通知のタイトルを選択します。

タイムライン

[タイムライン] セクションには、コンピューター上で監視されたイベントと関連する通知の時系列ビューが表示されます。 これにより、マシンに関連するイベント、ファイル、IP アドレスを相関させることができます。

タイムラインを使って、特定の期間内に発生したイベントに選択的にドリルダウンすることもできます。 つまり、選択した期間にわたってコンピューターで発生した一連のイベントだけを一時的に表示できます。 ビューをさらに制御するには、イベントグループごとにフィルターを適用するか、列をカスタマイズします。

注意

ファイアウォールイベントを表示するには、監査ポリシーを有効にする必要があります。「監査フィルター処理プラットフォーム接続」をご覧ください。 ファイアウォールによって次のイベントがカバーされる

  • 5025 -ファイアウォールサービスが停止しました
  • 5031 -ネットワークでの着信接続の受け入れがブロックされるアプリケーション
  • 5157 -ブロックされた接続

コンピューターのタイムラインでのイベントの画像

次のような機能があります。

  • 特定のイベントを検索する
    • 検索バーを使用して、特定のタイムライン イベントを探します。
  • 特定の日付のイベントをフィルター処理する
    • テーブルの左上にある予定表アイコンを選択して、過去の日、週、30日間、またはカスタム範囲でイベントを表示します。 既定では、[コンピューター] タイムラインは、過去30日間のイベントを表示するように設定されています。
    • タイムラインを使用して、セクションを強調表示して特定の瞬間にジャンプします。 タイムライン上の矢印は自動調査を正確に示す
  • 詳細な機械タイムラインイベントをエクスポートする
    • 現在の日付または指定した日付範囲 (最大7日間) の機械のタイムラインをエクスポートします。

特定のイベントについて詳しくは、「追加情報」セクションで説明されています。 これらの詳細は、イベントの種類によって異なります。たとえば、次のようになります。

  • アプリケーションガードに含まれる-web ブラウザーイベントは分離されたコンテナーによって制限されました
  • アクティブな脅威が検出されました-脅威が実行中に脅威が検出されました
  • 修復に失敗しました。検出された脅威を修復しようとしましたが、失敗しました
  • 修復成功-検出された脅威は停止およびクリーンアップされました
  • ユーザーによってバイパスされる警告-Windows Defender SmartScreen の警告は閉じられ、ユーザーによって上書きされました
  • 不審なスクリプトが検出されました-悪意のあるスクリプトが実行された可能性があります
  • アラートカテゴリ-イベントが通知の生成につながった場合は、アラートカテゴリ ("その他") が提供されます。

また、成果物のタイムライン機能を使用して、特定のコンピューター上のアラートとイベントの相関関係を確認することもできます。

セキュリティの推奨事項

セキュリティの推奨事項は、MICROSOFT Defender ATP の脅威の & 脆弱性管理機能から生成されます。 推奨事項を選択するとパネルが表示され、推奨事項の説明や、enacting not it に関連する潜在的なリスクなどの関連情報を表示できます。 詳しくは、「セキュリティの推奨事項」をご覧ください。

[セキュリティの推奨] タブの画像

ソフトウェア インベントリ

[ソフトウェアインベントリ] セクションでは、デバイス上のソフトウェアを、弱点または脅威と共に表示することができます。 ソフトウェアの名前を選択すると、[ソフトウェアの詳細] ページに移動します。ここでは、セキュリティの推奨事項、検出された脆弱性、インストールされているコンピューター、バージョンの配布を表示できます。 詳細についてはソフトウェアインベントリを参照してください

[ソフトウェアインベントリ] タブの画像

発見された脆弱性

[検出された脆弱性] セクションには、デバイスの検出された脆弱性の名前、重要度、および脅威の情報が表示されます。 特定の脆弱性を選択すると、説明と詳細が表示されます。

[検出された脆弱性] タブの画像

関連トピック