脅威分析を通じて新たな脅威を追跡して対応する

適用対象:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

より高度な敵対者や新しい脅威が頻繁に出現し蔓延する中、次のことをすぐできることが重要です。

• 新しい脅威の影響を評価する
• 脅威に対する回復性または脅威への露出を確認する
• 脅威を停止または封じ込めるために実行できるアクションを特定する

脅威分析は、次のような最も関連性の高い脅威をカバーする、Microsoft の専門家セキュリティ研究者からの一連のレポートです。

• アクティブな脅威アクターとその攻撃活動
• 人気のある新しい攻撃手法
• 重大な脆弱性
• 一般的な攻撃対象領域
• 流行しているマルウェア

各レポートでは、脅威の詳細な分析と、その脅威に対する防御方法に関する広範なガイダンスが提供されます。 また、ネットワークからのデータも組み込まれており、脅威がアクティブかどうかと、該当する保護が適用されているかどうかを示します。

脅威分析が最新の脅威を追跡して停止する方法の詳細については、この短いビデオをご覧ください。

必要な役割と権限

次の表は、Threat Analytics にアクセスするために必要なロールとアクセス許可の概要を示しています。 次の表で定義されているロールは、個々のポータルのカスタム ロールを参照し、同様に名前が付けられている場合でも、Microsoft Entra IDのグローバル ロールには接続されません。

Microsoft Defender XDRには、次のいずれかのロールが必要です	Defender for Endpoint には、次のいずれかのロールが必要です	Defender for Office 365には、次のいずれかのロールが必要です	Defender for Cloud Apps には、次のいずれかのロールが必要です
脅威の分析	アラートとインシデント データ: データの表示 - セキュリティ操作 Defender 脆弱性管理の軽減策: データの表示 - 脅威と脆弱性の管理	アラートとインシデント データ: アラートの表示専用管理 アラートの管理 組織の構成 監査ログ 表示のみの監査ログ セキュリティ閲覧者 セキュリティ管理者 表示専用の受信者 メールの試行が防止されました。 セキュリティ閲覧者 セキュリティ管理者 表示専用の受信者	Defender for Cloud Apps または MDI ユーザーでは使用できません

脅威分析ダッシュボードを表示する

脅威分析ダッシュボードは、organizationに最も関連するレポートにアクセスするための優れた出発点です。 脅威を次のセクションにまとめます。

• 最新の脅威: 最新に公開された脅威レポートと、アクティブなアラートと解決されたアラートを含むデバイスの数をListsします。
• 影響の大きい脅威: organizationに最も影響を与えた脅威をListsします。 このセクションでは、アクティブなアラートを持つデバイスの数によって脅威をランク付けします。
• 脅威の概要: アクティブなアラートと解決されたアラートを含む脅威の数を表示することで、追跡された脅威の全体的な影響を示します。

ダッシュボードから脅威を選択すると、その脅威のレポートが表示されます。

脅威分析レポートを表示する

各脅威分析レポートには、 概要、 アナリスト レポート、 軽減策の 3 つのセクションに関する情報が用意されています。

概要: 脅威をすばやく理解し、その影響を評価し、防御を確認する

[ 概要] セクションでは、詳細なアナリスト レポートのプレビューを提供します。 また、誤って構成されたデバイスやパッチが適用されていないデバイスを通じて、organizationと露出に対する脅威の影響を示すグラフも提供されます。

の [概要] セクション

organizationへの影響を評価する

各レポートには、脅威の組織への影響に関する情報を提供できるように設計されたグラフが含まれています。

• アラートがあるデバイス: 脅威の影響を受けた個別のデバイスの現在の数を示します。 デバイスは、その脅威に関連付けられたアラートが少なくとも 1 つ存在する場合は [アクティブ] に分類され、デバイス上の脅威に関連付けられているすべてのアラートが解決された場合は解決されます。
• [時間の経過に伴うアラートを含むデバイス]: アクティブ なアラートと 解決済 みのアラートを含む個別のデバイスの数を表示します。 解決されたアラートの数は、脅威に関連付けられたアラートにorganizationが応答する速度を示します。 理想的には、数日以内に解決されているアラートがグラフに表示されます。

セキュリティの回復性と態勢を確認する

各レポートには、特定の脅威に対するorganizationの回復性の概要を示すグラフが含まれています。

• セキュリティ構成の状態: 脅威の軽減に役立つ推奨セキュリティ設定を適用したデバイスの数を示します。 追跡されたすべての設定が適用されている場合、デバイスはセキュリティで保護されたと見なされます。
• 脆弱性修正プログラムの状態: 脅威によって悪用された脆弱性に対処するセキュリティ更新プログラムまたはパッチを適用したデバイスの数を示します。

アナリスト レポート: Microsoft セキュリティ研究者から専門家の分析情報を取得する

アナリスト レポート セクションに移動して、詳細なエキスパートの書き込みを確認します。 ほとんどのレポートでは、MITRE ATT&CK フレームワークにマップされた戦術と手法、推奨事項の網羅的なリスト、強力な 脅威ハンティング ガイダンスなど、攻撃チェーンの詳細な説明が提供されます。

アナリスト レポートの詳細

軽減策: 軽減策の一覧とデバイスの状態を確認する

[ 軽減策 ] セクションで、脅威に対する組織の回復性を高めるのに役立つ特定の実用的な推奨事項の一覧を確認します。 追跡対象の軽減策の一覧は次のとおりです。

• セキュリティ更新プログラム: 脆弱性に対するセキュリティ更新プログラムまたはパッチの展開
• Microsoft Defenderウイルス対策の設定
  • セキュリティ インテリジェンス バージョン
  • クラウドによる保護
  • 望ましくない可能性のあるアプリケーション (PUA) 保護
  • リアルタイム保護

このセクションの軽減策情報には、Microsoft Defender 脆弱性の管理からのデータが組み込まれており、レポートのさまざまなリンクからの詳細なドリルダウン情報も提供されます。

脅威分析レポートの [軽減策] セクション

その他のレポートの詳細と制限事項

レポートを使用する場合は、次の点に注意してください。

• データのスコープは、ロールベースのアクセス制御 (RBAC) スコープに基づいています。 アクセスできるグループ内のデバイスの状態が表示されます。
• グラフには、追跡される軽減策のみが反映されます。 グラフに表示されないその他の軽減策については、レポートの概要を確認してください。
• 軽減策では、完全な回復性は保証されません。 提供される軽減策には、回復性を向上させるために必要な最善のアクションが反映されています。
• デバイスがサービスにデータを送信していない場合、デバイスは "利用不可" としてカウントされます。
• ウイルス対策関連の統計は、Microsoft Defenderウイルス対策設定に基づいています。 サード パーティのウイルス対策ソリューションを持つデバイスは、"公開" として表示される場合があります。

関連項目

• 高度なハンティングを使用して脅威を事前に見つける
• アナリスト レポート セクションを理解する
• セキュリティの弱点と露出を評価して解決する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。