Microsoft Defender Advanced Threat Protection の通知を管理する

適用対象:

Microsoft Defender ATP を経験していますか? 無料試用版にサインアップしてください。

Microsoft Defender ATP は、通知を通じて、悪意のあるイベント、属性、およびコンテキスト情報を通知します。 新しいアラートの概要が [セキュリティの操作] ダッシュボードに表示され、アラートキュー内のすべての通知にアクセスできます。

アラートを管理するには、アラートキューで通知を選ぶか、個々のデバイスの [マシン] ページの [アラート] タブを選択します。

いずれかの場所からアラートを選択すると、[Alert management pane (アラート管理ウィンドウ)] が表示されます。

アラート管理ウィンドウと通知キューの画像

別のインシデントへのリンク

新しいインシデントを通知から作成したり、既存のインシデントにリンクしたりすることができます。

アラートの割り当て

警告がまだ割り当てられていない場合は、[自分に割り当て] を選択して、通知を自分自身に割り当てることができます。

アラートを抑制する

Microsoft Defender セキュリティセンターに通知を表示しないようにする必要があるシナリオも考えられます。 Microsoft Defender ATP を使用すると、既知のツールや組織内のプロセスなど、無害であることがわかっている特定の通知に対して、抑制ルールを作成することができます。

抑制ルールは既存のアラートから作成できます。 ルールを無効にしてから、必要に応じて再び有効にできます。

抑制ルーが作成されると、ルールが作成された時点からルールが有効化されます。 ルールは、ルールを作成する前に、キュー内にある既存の通知には影響しません。 ルールは、ルールが作成された後に設定された条件を満たすアラートにのみ適用されます。

抑制ルールに選ぶことができる 2 つのコンテキストがあります。

  • このコンピューター上のアラートを抑制する
  • 組織のアラートを抑制する

ルールのコンテキストによりポータルに表示される内容を調整したり、実際のセキュリティ アラートのみがポータルに表示されるようにできます。

次の表の例を使用して、抑制ルールのコンテキストを選ぶことができます。

コンテキスト 説明 シナリオ例
このコンピューター上のアラートを抑制する 特定のコンピューター上でアラートのタイトルが同じであるアラートが非表示となります。

そのコンピューター上のその他のすべてのアラートは表示されます。
  • セキュリティの研究者が、組織内の他のコンピューターを攻撃するために使用された、悪意のあるスクリプトを調査している。
  • 開発者が、チームのための PowerShell スクリプトを定期的に作成している。
組織のアラートを抑制する 任意のコンピューター上での同じタイトルのアラートが表示されなくなります。
  • 良性の管理ツールが組織の全員により使用されている。

アラートを抑制して、新しい抑制ルールを作成するには:

アラートが抑制される、または解決されるタイミングを制御するカスタム ルールを作成します。 アラートのタイトル、侵害インジケーター、条件を指定して、アラートが抑制されるときのコンテキストを制御できます。 コンテキストを指定した後、アラートでアクションとスコープを構成できます。

  1. 抑制するアラートを選択します。 これにより、[Alert management (アラートの管理)] ウィンドウが表示されます。

  2. [抑制ルールの作成] を選択します。

    これらの属性を使用して、抑制条件を作成できます。 AND 演算子は各条件の間で適用されるため、すべての条件が満たされた場合にのみ、抑制が行われます。

    • ファイル SHA1
    • ファイル名-ワイルドカードはサポートされています
    • フォルダパス-ワイルドカードはサポートされています
    • IP アドレス
    • URL-ワイルドカードがサポートされています
    • コマンドライン-ワイルドカードがサポートされています
  3. TRIGERRING IOCを選択します。

  4. アラートのアクションとスコープを指定します。
    アラートを自動的に解決したり、ポータルで非表示にしたりできます。 自動的に解決されたアラートは、アラート キューの解決済みセクションに表示されます。 非表示としてマークされたアラートは、システム全体、コンピューターの関連アラートとダッシュボードの両方から抑制されます。 特定のコンピューターグループに対して通知を非表示にするように指定することもできます。

  5. ルール名とコメントを入力します。

  6. [保存] をクリックします。

抑制ルールの一覧を参照する

  1. ナビゲーションウィンドウで、[設定 > アラートの抑制] を選びます。

  2. 抑制ルールの一覧には、組織内のユーザーが作成したすべてのルールが表示されます。

抑制規則の管理について詳しくは、「抑制規則を管理する」をご覧ください。

アラートの状態を変更する

調査の進行に応じてアラートの状態を変更して、アラートを新規進行中、または解決に分類することができます。 これにより、チームによるアラートへの対応を、整理して管理することができます。

たとえば、チーム リーダーはすべての新規アラートを確認でき、それを進行中に割り当てて、さらに分析することを決定できます。

または、アラートが良性のものであることがわかっている場合には、チーム リーダーはアラートを解決キューに割り当てることができます。たとえば、関係のないコンピューター (たとえばセキュリティ管理者のコンピューターなど) からのアラートや、すでに以前のアラートにより対応が取られている場合などです。

アラートの分類

分類を設定しないようにすることもできます。また、通知が真の通知であるか、または偽の通知であるかを指定することもできます。 真の正/誤検知の分類を指定することが重要です。 この分類は、アラートの品質を監視するために使用され、より正確な通知を作成できます。 "判断" フィールドを使用すると、"真陽性" の分類の追加再現性を定義できます。

コメントの追加とアラートの履歴の表示

コメントを追加したり、アラートについてのイベントの履歴を表示して、以前にアラートに行われた変更を確認することができます。

アラートが変更されたり、コメントが追加されると、[Comments and History (コメントと履歴)] セクションに記録されます。

追加されたコメントは、直ちにウィンドウに表示されます。

関連トピック