適用対象:
この記事では、 マネージド応答に関して、お客様または SOC チームが持つ可能性がある質問の一覧を示します。
一般情報
| 質問 | 答え |
|---|---|
| マネージド応答とは | Microsoft Defender Experts for XDRでは、専門家が必要なインシデントの修復プロセス全体を管理するマネージド対応が提供されます。 このプロセスには、インシデントを調査して根本原因を特定し、必要な対応アクションを特定し、それらのアクションをユーザーに代わって実行することが含まれます。 |
| マネージド応答のスコープ内のアクションは何ですか? | 以下に示すアクションはすべて、除外されていないデバイスとユーザーに対するマネージド応答のスコープ内にあります。 デバイスの場合
ユーザー向け
|
| マネージド応答の範囲をカスタマイズできますか? | オンボード中または後でサービスの設定を変更することで、特定のデバイスとユーザー (個別またはグループ) を除外することで、エキスパートが代理でマネージド応答アクションを実行する範囲を構成できます。 デバイス グループの除外の詳細 |
| 除外された資産に対して Defender Experts はどのようなサポートを提供しますか? | 除外されたデバイスまたはユーザーに対して応答アクションを実行する必要があると専門家が判断した場合、さまざまなカスタマイズ可能な方法で通知し、Microsoft Defender ポータルに誘導します。 ポータルから、調査プロセスと必要な応答アクションの詳細な概要をポータルで表示し、これらの必要なアクションを直接実行できます。 同様の機能は、セキュリティ情報とイベント管理 (SIEM)、IT サービス管理 (ITSM)、またはその他のサード パーティ製ツールを使用する場合に備えて、Defender API でも使用できます。 |
| 応答アクションについて通知を受け取る方法 | 専門家が代理で完了した応答アクションと、除外された資産に対して実行する必要がある保留中のアクションは、Defender ポータルの [インシデント] ページの [マネージド応答] パネルに表示されます。 さらに、インシデントへのリンクと、ポータルでマネージド応答を表示する手順を含む電子メールを受け取ります。 さらに、Microsoft Sentinelまたは API と統合している場合は、Defender Experts の状態を探して、これらのツール内の通知も受け取ります。 詳細については、「Microsoft Defender Experts for XDR インシデント通知に関連する FAQ」を参照してください。 |
| アクションに基づいてマネージド応答をカスタマイズできますか? | その必要はありません。 高価値または機密性の高いデバイスまたはユーザーがある場合は、除外リストに追加します。 専門家は、インシデントの影響を受けた場合にのみ、それらに対して何もアクションを実行せず、ガイダンスを提供します。 |
マネージド応答通知について
Microsoft Defender ポータルと Graph Security API
| 質問 | 答え |
|---|---|
| 操作方法 Defender Experts アナリストがインシデントに取り組み始めたかどうかを知っていますか? | Defender エキスパートは、インシデントに調査が必要であると判断した場合 (関連するサービスまたは検出ソース、重大度レベル、定義されたスコープカバレッジ、その他の理由など)、インシデントの [割り当て先 ] フィールドを Defender Experts に更新します。 エキスパートがインシデントの調査を開始すると、 その [状態] フィールドが [進行中] に更新されます。 |
| 操作方法、Defender Experts アナリストがインシデントを解決したかどうかを知っていますか? | Defender Experts アナリストがインシデントを解決すると、インシデントの [状態] フィールドが [解決済み] に更新されます。 |
| 操作方法、Defender Experts アナリストがインシデントを解決するきっかけとなった結論を知っていますか? | Defender エキスパートは、インシデントに関する調査を完了すると、インシデントの [分類と決定] フィールドを変更し、Microsoft Defender ポータルの [マネージド応答ポップアップ] パネルに調査の概要を提供します。 |
| 操作方法、インシデントを調査するときに Defender Experts アナリストがテナントでどのようなアクションを行ったかがわかりますか? | 調査するインシデントごとに、Defender Experts アナリストは、テナント内で実行されたアクションを、Microsoft Defender ポータルの [マネージド応答ポップアップ] パネルにあるインシデントの調査の概要に要約します。 また、Microsoft Purview ポータルまたは Office 365 マネージメント アクティビティ API を使用して監査ログを検索することで、これらのアクションとテナントにサインインした時間に関する情報を取得することもできます。 |
| 操作方法、Defender Experts アナリストが SOC チームに対して何らかの応答アクションを送信したかどうかを知っていますか? | Defender Experts アナリストは、Microsoft Defender ポータルのインシデントのマネージド応答ポップアップ パネルでインシデントに対して実行するように SOC チームに推奨する応答アクションを公開します。 現時点では、インシデントの [割り当て先 ] フィールドが [顧客 ] に更新され、 その状態 が [顧客アクションの待機中] に更新されます。 Microsoft Defender ポータルの [設定]>[Defender Experts>Notification 連絡先] で指定したインシデント連絡先も、注意が必要な応答アクションがある場合に対応する電子メール通知を受け取ります。 また、Microsoft Defender ポータルの [設定>Defender Experts>Teams で設定した場合も Teams 通知を受け取ります。 |
| 調査または対応アクションについて Defender Experts アナリストに質問操作方法? | Defender Experts アナリストが、True Positive インシデントのマネージド応答ポップアップ パネルで調査の概要と推奨 される応答 アクションを公開した後、同じパネルの [ チャット ] タブを使用して、インシデントとその調査について Defender エキスパート チームに質問できます。 または、指定されたインシデントの連絡先は、Defender エキスパートから受け取った Teams 通知に直接応答して、質問をすることができます。 |
| 操作方法、保留中の応答アクションを持つインシデントを把握していますか? | Microsoft Defender ポータルのホーム ページの Defender Experts カードには、メッセージを表示するリンク (たとえば、アクションを待機している 3 件のインシデント) が含まれています。 このリンクを選択すると、特に注意が必要なインシデントのフィルター処理された一覧が表示されます。 Microsoft Defender ポータルでインシデント キューをフィルター処理するには、[顧客として割り当て済み] または [状態] を [顧客アクションの待機中] として選択します。 |
Microsoft Sentinel
| 質問 | 答え |
|---|---|
| Sentinelで Defender Experts の更新プログラムを入手操作方法? | Microsoft Defender XDRとMicrosoft Sentinelの間でデータ コネクタを有効にすると、Defender エキスパートによってインシデントに対して行われた更新がMicrosoft Sentinelと同期されます。
詳細情報 を参照してください。 Microsoft Defender XDR インシデントの [割り当て先]、[状態]、および [分類] フィールドは、Sentinelの対応するフィールド (所有者、状態、および終了理由) にマップされます。 |
| Sentinelで Defender Experts の更新プログラムを取得操作方法、プレイブックを自動的にトリガーしますか? | Defender Experts の更新プログラムを取得するには、まず、次の Defender Experts 更新プログラムによってトリガーされる自動化ルールをSentinelに設定します。
|
| Sentinelから Defender Experts によって発行されたマネージド応答アクションにアクセスするにはどうすればよいですか? | Defender Experts がMicrosoft Defender ポータルでインシデントのマネージド応答アクションを公開すると、[所有者] フィールドが [顧客] に自動的に更新され、タグ Awaiting Customer Action がSentinelで使用できるようになります。 これらのフィールドの変更をトリガーとして使用して、Microsoft Defender ポータルで対応するインシデントのマネージド応答パネルを確認できます。 |
サード パーティの SIEM、SOAR、または ITSM アプリの場合
| 質問 | 答え |
|---|---|
| Microsoft Defender XDRから Defender Experts の更新プログラムを取得操作方法、サードパーティのセキュリティ情報とイベント管理 (SIEM)、セキュリティ オーケストレーション、自動化と応答 (SOAR)、IT サービス管理 (ITSM) アプリに同期しますか? | Microsoft Defender XDRから Graph Security APIを通じて Defender Experts の更新プログラムを入手できます。 詳細については、「Graph APIを使用してマネージド応答にアクセスする」を参照してください。 同期プロセスを開始するには:
|
| Microsoft Defender ポータルで Defender Experts によって発行されたマネージド応答アクションをサード パーティの SIEM、SOAR、または ITSM アプリと同期できますか? | Defender Experts がMicrosoft Defender ポータルでインシデントのマネージド応答アクションを公開すると、[割り当て先] フィールドが [顧客] に変更され、[状態] フィールドが [顧客アクションの待機中] に更新されます。 Graph Security APIを使用してこれらのフィールドを同期し、これらの変更をトリガーとして使用して、Microsoft Defender ポータルでマネージド応答アクションを確認できます。 マネージド応答アクションは、今年後半に Graph Security APIで使用できるようになる予定です。この時点で、サードパーティ製アプリと同期できるようになります。 |
その他の通信サービスでは
| 質問 | 答え |
|---|---|
| メールのMicrosoft Defender XDRから Defender Experts の更新プログラムを入手できますか? | Defender Experts アナリストがインシデントに推奨される応答アクションを発行すると、指定されたインシデントの連絡先は、Microsoft Defender ポータルの [設定>Defender Experts>Notification 連絡先に指定された電子メール通知を受け取ります。 さらに、指定したメール アドレスにすべてのインシデント更新プログラムを自動的に送信するように ロジック アプリを構成 できます。 |
| Microsoft TeamsのMicrosoft Defender XDRから Defender Experts の更新プログラムを入手できますか? | Microsoft Defender ポータルのインシデントのマネージド応答ポップアップ パネルから双方向チャット機能にアクセスできます。 マネージド応答が投稿されると通知を受け取り、Microsoft Teams内で直接 Defender Experts とリアルタイムのチャット会話を行うことができます。 Teams の設定の詳細については、こちらをご覧ください。 |
| MICROSOFT DEFENDER XDRから SMS または電話の更新プログラムとして、または Slack などのサード パーティの通信サービスで Defender Experts の更新プログラムを入手できますか? | Slack、Twilio、Azure Communication Servicesなどの通信サービスから通知を送信するようにロジック アプリを構成できます。 |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。