エンドポイント通知用に Microsoft Defender を管理するManage Microsoft Defender for Endpoint alerts

重要

エンドポイントの Microsoft defenderへようこそ。 Microsoft Defender Advanced Threat Protectionの新しい名前。Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. 詳細について は、こちらを参照してください。Read more about this and other updates here. 製品と近い将来のドキュメントで名前を更新する予定です。We'll be updating names in products and in the docs in the near future.

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

エンドポイントの Defender は、通知を通じて、悪意のあるイベント、属性、コンテキスト情報を通知します。Defender for Endpoint notifies you of possible malicious events, attributes, and contextual information through alerts. 新しいアラートの概要が [ セキュリティの操作] ダッシュボードに表示され、 アラートキュー内のすべての通知にアクセスできます。A summary of new alerts is displayed in the Security operations dashboard, and you can access all alerts in the Alerts queue.

アラートを管理するには、アラート キューで通知を選ぶか、個々のデバイスのデバイスページの [ アラート ] タブを選択します。You can manage alerts by selecting an alert in the Alerts queue, or the Alerts tab of the Device page for an individual device.

いずれかの場所からアラートを選択すると、[Alert management pane (アラート管理ウィンドウ)] が表示されます。Selecting an alert in either of those places brings up the Alert management pane.

アラート管理ウィンドウと通知キューの画像

新しいインシデントを通知から作成したり、既存のインシデントにリンクしたりすることができます。You can create a new incident from the alert or link to an existing incident.

アラートの割り当てAssign alerts

警告がまだ割り当てられていない場合は、[ 自分に割り当て ] を選択して、通知を自分自身に割り当てることができます。If an alert is not yet assigned, you can select Assign to me to assign the alert to yourself.

アラートを抑制するSuppress alerts

Microsoft Defender セキュリティセンターに通知を表示しないようにする必要があるシナリオも考えられます。There might be scenarios where you need to suppress alerts from appearing in Microsoft Defender Security Center. Defender エンドポイントの場合、組織内の既知のツールやプロセスなど、無害であることがわかっている特定の通知の抑制規則を作成できます。Defender for Endpoint lets you create suppression rules for specific alerts that are known to be innocuous such as known tools or processes in your organization.

抑制ルールは既存のアラートから作成できます。Suppression rules can be created from an existing alert. ルールを無効にしてから、必要に応じて再び有効にできます。They can be disabled and reenabled if needed.

抑制ルーが作成されると、ルールが作成された時点からルールが有効化されます。When a suppression rule is created, it will take effect from the point when the rule is created. ルールは、ルールを作成する前に、キュー内にある既存の通知には影響しません。The rule will not affect existing alerts already in the queue, prior to the rule creation. ルールは、ルールが作成された後に設定された条件を満たすアラートにのみ適用されます。The rule will only be applied on alerts that satisfy the conditions set after the rule is created.

抑制ルールに選択できる 2 つのコンテキストがあります。There are two contexts for a suppression rule that you can choose from:

  • このデバイスで通知を表示しないSuppress alert on this device
  • 組織のアラートを抑制するSuppress alert in my organization

ルールのコンテキストによりポータルに表示される内容を調整したり、実際のセキュリティ アラートのみがポータルに表示されるようにできます。The context of the rule lets you tailor what gets surfaced into the portal and ensure that only real security alerts are surfaced into the portal.

次の表の例を使用して、抑制ルールのコンテキストを選ぶことができます。You can use the examples in the following table to help you choose the context for a suppression rule:

コンテキストContext 説明Definition シナリオ例Example scenarios
このデバイスで通知を表示しないSuppress alert on this device 通知のタイトルが同じで、特定のデバイスでのみ通知が抑制されます。Alerts with the same alert title and on that specific device only will be suppressed.

そのデバイス上のその他のすべてのアラートは抑制されません。All other alerts on that device will not be suppressed.
  • セキュリティのリサーチツールが、組織内の他のデバイスを攻撃するために使用された悪意のあるスクリプトを調査しています。A security researcher is investigating a malicious script that has been used to attack other devices in your organization.
  • 開発者が、チームのための PowerShell スクリプトを定期的に作成している。A developer regularly creates PowerShell scripts for their team.
組織のアラートを抑制するSuppress alert in my organization 任意のデバイスで同じ通知タイトルを持つアラートは抑制されます。Alerts with the same alert title on any device will be suppressed.
  • 良性の管理ツールが組織の全員により使用されている。A benign administrative tool is used by everyone in your organization.

アラートを抑制して、新しい抑制ルールを作成するには:Suppress an alert and create a new suppression rule:

アラートが抑制される、または解決されるタイミングを制御するカスタム ルールを作成します。Create custom rules to control when alerts are suppressed, or resolved. アラートのタイトル、侵害インジケーター、条件を指定して、アラートが抑制されるときのコンテキストを制御できます。You can control the context for when an alert is suppressed by specifying the alert title, Indicator of compromise, and the conditions. コンテキストを指定した後、アラートでアクションとスコープを構成できます。After specifying the context, you’ll be able to configure the action and scope on the alert.

  1. 抑制するアラートを選択します。Select the alert you'd like to suppress. これにより、[Alert management (アラートの管理)] ウィンドウが表示されます。This brings up the Alert management pane.

  2. [ 抑制ルールの作成] を選択します。Select Create a suppression rule.

    これらの属性を使用して、抑制条件を作成できます。You can create a suppression condition using these attributes. AND 演算子は各条件の間で適用されるため、すべての条件が満たされた場合にのみ、抑制が行われます。An AND operator is applied between each condition, so suppression occurs only if all conditions are met.

    • ファイル SHA1File SHA1
    • ファイル名-ワイルドカードはサポートされていますFile name - wildcard supported
    • フォルダパス-ワイルドカードはサポートされていますFolder path - wildcard supported
    • IP アドレスIP address
    • URL-ワイルドカードがサポートされていますURL - wildcard supported
    • コマンドライン-ワイルドカードがサポートされていますCommand line - wildcard supported
  3. トリガーする IOCを選択します。Select the Triggering IOC.

  4. アラートのアクションとスコープを指定します。Specify the action and scope on the alert.
    アラートを自動的に解決したり、ポータルで非表示にしたりできます。You can automatically resolve an alert or hide it from the portal. 自動的に解決される通知は、[アラートキュー]、[通知] ページ、および [デバイス] タイムラインの [解決済み] セクションに表示され、エンドポイント Api のために、Defender で解決済みとして表示されます。Alerts that are automatically resolved will appear in the resolved section of the alerts queue, alert page, and device timeline and will appear as resolved across Defender for Endpoint APIs.

    非表示とマークされた通知は、デバイスに関連付けられているアラートとダッシュボードの両方でシステム全体から抑制され、エンドポイント Api 用の Defender ではストリーミングされません。Alerts that are marked as hidden will be suppressed from the entire system, both on the device's associated alerts and from the dashboard and will not be streamed across Defender for Endpoint APIs.

  5. ルール名とコメントを入力します。Enter a rule name and a comment.

  6. [Save] (保存) をクリックします。Click Save.

抑制ルールの一覧を参照するView the list of suppression rules

  1. ナビゲーションウィンドウで、[設定 > アラートの抑制] を選びます。In the navigation pane, select Settings > Alert suppression.

  2. 抑制ルールの一覧には、組織内のユーザーが作成したすべてのルールが表示されます。The list of suppression rules shows all the rules that users in your organization have created.

抑制規則の管理について詳しくは、「抑制規則を管理する」をご覧ください。For more information on managing suppression rules, see Manage suppression rules

アラートの状態を変更するChange the status of an alert

調査の進行に応じてアラートの状態を変更して、アラートを新規進行中、または解決に分類することができます。You can categorize alerts (as New, In Progress, or Resolved) by changing their status as your investigation progresses. これにより、チームによるアラートへの対応を、整理して管理することができます。This helps you organize and manage how your team can respond to alerts.

たとえば、チーム リーダーはすべての新規アラートを確認でき、それを進行中に割り当てて、さらに分析することを決定できます。For example, a team leader can review all New alerts, and decide to assign them to the In Progress queue for further analysis.

また、アラートが害のないことがわかっている場合、または、(セキュリティ管理者に属している1つなどの無関係な) デバイスからのアラートを解決した場合、または以前のアラートを処理している場合は、チームリーダーがアラートを 解決済み のキューに割り当てる場合があります。Alternatively, the team leader might assign the alert to the Resolved queue if they know the alert is benign, coming from a device that is irrelevant (such as one belonging to a security administrator), or is being dealt with through an earlier alert.

アラートの分類Alert classification

分類を設定しないようにすることもできます。また、通知が真の通知であるか、または偽の通知であるかを指定することもできます。You can choose not to set a classification, or specify whether an alert is a true alert or a false alert. 真の正/誤検知の分類を指定することが重要です。It's important to provide the classification of true positive/false positive. この分類は、アラートの品質を監視するために使用され、より正確な通知を作成できます。This classification is used to monitor alert quality, and make alerts more accurate. "判断" フィールドを使用すると、"真陽性" の分類の追加再現性を定義できます。The "determination" field defines additional fidelity for a "true positive" classification.

コメントの追加とアラートの履歴の表示Add comments and view the history of an alert

コメントを追加したり、アラートについてのイベントの履歴を表示して、以前にアラートに行われた変更を確認することができます。You can add comments and view historical events about an alert to see previous changes made to the alert.

アラートが変更されたり、コメントが追加されると、[Comments and History (コメントと履歴)] セクションに記録されます。Whenever a change or comment is made to an alert, it is recorded in the Comments and history section.

追加されたコメントは、直ちにウィンドウに表示されます。Added comments instantly appear on the pane.

関連トピックRelated topics