次の方法で共有

Microsoft Defenderでの脅威分析

適用対象:

  • Microsoft Defender XDR

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

脅威分析は、Microsoft セキュリティの専門家による製品内脅威インテリジェンス ソリューションです。 セキュリティ チームは、次のような新たな脅威に直面しながら、効率的な状態を維持するのに役立ちます。

  • アクティブな脅威アクターとその攻撃活動
  • 人気のある新しい攻撃手法
  • 重大な脆弱性
  • 一般的な攻撃対象領域
  • 流行しているマルウェア

脅威分析には、Microsoft Defenderポータルのナビゲーション バーの左上から、または既知の影響と露出の両方の観点から、organizationに対する上位の脅威を示す専用のダッシュボード カードからアクセスできます。

脅威分析のランディング ページのスクリーンショット

アクティブまたは進行中の攻撃活動を可視化し、脅威の分析を通じて対処方法を把握することで、セキュリティ運用チームが情報に基づいた意思決定をすることができるようになります。

より高度な敵対者や新しい脅威が頻繁に出現し蔓延する中、次のことをすぐできることが重要です。

  • 新たな脅威を特定して対応する
  • 現在攻撃を受けているかどうかを確認する
  • 資産に対する脅威の影響を評価する
  • 脅威に対する回復性または脅威への露出を確認する
  • 脅威を停止または封じ込めるために実行できる軽減策、回復、または防止アクションを特定する

各レポートには、追跡対象の脅威の分析と、その脅威に対する防御方法に関する広範なガイダンスが用意されています。 また、ネットワークからのデータも組み込まれており、脅威がアクティブかどうかと、該当する保護が適用されているかどうかを示します。

必要な役割と権限

Defender ポータルで脅威分析にアクセスするには、少なくとも 1 つのMicrosoft Defender XDR製品のライセンスが必要です。 詳細については、「前提条件のMicrosoft Defender XDR」を参照してください。

注:

Microsoft Defender for Endpoint P1 ライセンスは、この前提条件の例外であり、Threat Analytics アクセス権を付与しません。

MICROSOFT SENTINEL SIEM のお客様は、特定の脅威分析セクションまたはタブにのみアクセスできます。 詳細情報

Threat Analytics にアクセスするには、次のロールとアクセス許可も必要です。

  • セキュリティ データの基本 (読み取り) - 脅威分析レポート、関連するインシデントとアラート、影響を受ける資産を表示する
  • 脆弱性管理 (読み取り)露出管理 (読み取り) - 関連する公開データと推奨されるアクションを表示する

既定では、Defender ポータルで使用できるサービスへのアクセスは、グローバル ロールMicrosoft Entra使用してまとめて管理されます。 特定の製品データへのアクセスをより柔軟に制御する必要があり、一元化されたアクセス許可管理にMicrosoft Defender XDR統合ロールベースのアクセス制御 (RBAC) をまだ使用していない場合は、サービスごとにカスタム ロールを作成することをお勧めします。 カスタム ロールの作成の詳細

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

サポートされている製品が 1 つしかない場合でも、すべての脅威分析レポートを可視化できます。 ただし、脅威に関連する製品の特定のインシデント、資産、公開、推奨されるアクションを確認するには、各製品とロールが必要です。

脅威分析ダッシュボードを表示する

脅威分析ダッシュボード (security.microsoft.com/threatanalytics3) では、organizationに最も関連するレポートが強調表示されます。 脅威を次のセクションにまとめます。

  • 最新の脅威 - 最新に公開または更新された脅威レポートと、アクティブなアラートと解決されたアラートの数が一覧表示されます。
  • 影響の大きい脅威 — organizationに最も影響を与える脅威を一覧表示します。 このセクションでは、最初にアクティブなアラートと解決済みアラートの数が最も多い脅威の一覧を示します。
  • 最も露出の高い脅威 — organizationの露出が最も高い脅威を一覧表示します。 脅威に対する露出レベルは、脅威に関連する脆弱性の深刻さと、それらの脆弱性によって悪用される可能性があるorganization内のデバイスの数という 2 つの情報を使用して計算されます。

脅威分析ダッシュボードのスクリーンショット。

ダッシュボードから脅威を選択すると、その脅威のレポートが表示されます。 [検索] フィールドを選択して、読みたい脅威分析レポートに関連するキーワード (keyword)でキーを設定することもできます。

カテゴリ別にレポートを表示する

脅威レポートの一覧をフィルター処理し、次のオプションに従って最も関連性の高いレポートを表示できます。

  • 脅威タグ - 特定の脅威カテゴリに従って最も関連性の高いレポートを表示するのに役立ちます。 たとえば、[ランサムウェア] タグには、 ランサムウェア に関連するすべてのレポートが含まれます。

    Microsoft 脅威インテリジェンス チームは、各脅威レポートに脅威タグを追加します。 現在、次の脅威タグを使用できます。

    • ランサムウェア
    • フィッシング詐欺
    • アクティビティ グループ
    • 脆弱性

  • カテゴリ - 特定のレポートの種類に応じて、最も関連性の高いレポートを表示するのに役立ちます。 たとえば、 アクター カテゴリには、すべての脅威アクター プロファイルが含まれます。 さまざまなアナリスト レポートの種類の詳細を確認する

これらのフィルターを使用すると、脅威レポートの一覧を効率的に確認できます。 たとえば、ランサムウェア カテゴリに関連するすべての脅威レポート、または脆弱性に関連する脅威レポートを表示できます。

カテゴリは、脅威分析ページの上部に表示されます。 カウンターには、各カテゴリで使用可能なレポートの数が表示されます。

脅威分析レポートの種類のスクリーンショット。

ダッシュボードにレポート フィルターの種類を追加するには、[ フィルター] を選択し、一覧から選択し、[ 追加] を選択します。

脅威分析の [フィルターの追加] オプションのスクリーンショット。

使用可能なフィルターに基づいて一覧に表示するレポートの種類を設定するには、フィルターの種類 (脅威 タグなど) を選択し、一覧から選択し、[ 適用] を選択します。

脅威タグの [フィルター] リストのスクリーンショット。

脅威分析レポートを表示する

各脅威分析レポートには、いくつかのセクションに関する情報が用意されています。

概要: 脅威をすばやく理解し、その影響を評価し、防御を確認する

[ 概要] セクションでは、詳細なアナリスト レポートのプレビューを提供します。 また、organizationに対する脅威の影響と、正しく構成されていないデバイスやパッチが適用されていないデバイスを介した露出を示すグラフも提供されます。

脅威分析レポートの概要セクションのスクリーンショット。

脅威とその戦術、手法、手順を理解する

各レポートには、脅威に関する次の詳細が含まれており、該当する場合や利用可能な場合は常に、脅威の概要と、脅威がorganizationにどのような影響を与える可能性があるかを簡単に確認できます。

  • エイリアス - 他のセキュリティ ベンダーによって脅威に対して公開されている名前を一覧表示します
  • 配信元 - 脅威が発生した国または地域を示します
  • 関連インテリジェンス - 脅威に関連する、または脅威に関連するその他の脅威分析レポートを一覧表示します
  • ターゲット - 脅威の対象となる国または地域と業界を一覧表示します
  • MITRE 攻撃手法 - MITRE ATT&CK フレームワークに従って、脅威が観察した戦術、手法、手順 (TCP) を一覧表示します

organizationへの影響を評価する

各レポートには、脅威の組織への影響に関する情報を提供できるように設計されたグラフが含まれています。

  • 関連インシデント - 追跡された脅威がorganizationに与える影響の概要を、次のデータと共に提供します。
    • アクティブなアラートの数と、関連付けられているアクティブなインシデントの数
    • アクティブなインシデントの重大度
  • 時間の経過に伴うアラート - 関連する アクティブ アラートと 解決済み アラートの数が経時的に表示されます。 解決されたアラートの数は、脅威に関連付けられたアラートにorganizationが応答する速度を示します。 理想的には、グラフには数日以内に解決されたアラートが表示されます。
  • 影響を受けた資産 - 追跡対象の脅威に関連付けられているアクティブなアラートが少なくとも 1 つ存在する個別の資産の数を示します。 脅威メールを受信するメールボックスに対してアラートがトリガーされます。 脅威メールの配信を引き起こすオーバーライドについては、組織レベルとユーザー レベルの両方のポリシーを確認します。

セキュリティの回復性と態勢を確認する

各レポートには、特定の脅威に対するorganizationの回復性の概要を示すグラフが含まれています。

  • 推奨されるアクション - [アクションの状態 ] の割合、またはセキュリティ体制を改善するために達成したポイントの数が表示されます。 脅威への対処に役立つ推奨アクションを実行します。 [カテゴリ] または [状態] でポイントの内訳を表示できます。
  • エンドポイントの公開 — 脆弱なデバイスの数を示します。 セキュリティ更新プログラムまたはパッチを適用して、脅威によって悪用された脆弱性に対処します。

アナリスト レポート: Microsoft セキュリティ研究者から専門家の分析情報を取得する

[ アナリスト レポート ] セクションでは、詳細なエキスパートの書き込みを読むことができます。 ほとんどのレポートでは、MITRE ATT&CK フレームワークにマップされた戦術と手法、推奨事項の網羅的なリスト、強力な 脅威ハンティング ガイダンスなど、攻撃チェーンの詳細な説明が提供されます。

アナリスト レポートの詳細

[関連インシデント] タブには、追跡対象の脅威に関連するすべてのインシデントの一覧が表示されます。 インシデントの割り当て、または各インシデントにリンクされているアラートの管理ができます。

脅威分析レポートの関連インシデント セクションのスクリーンショット。

注:

脅威に関連するインシデントとアラートは、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft DefenderからOffice 365、クラウドのMicrosoft Defender for Cloud AppsとMicrosoft Defender。

影響を受ける資産: 影響を受けるデバイス、ユーザー、メールボックス、アプリ、クラウド リソースの一覧を取得する

[ 影響を受けた資産 ] タブには、時間の経過に伴う脅威の影響を受けた資産が表示されます。 次の情報が表示されます。

  • アクティブなアラートの影響を受ける資産
  • 解決されたアラートの影響を受ける資産
  • すべての資産、またはアクティブなアラートと解決されたアラートの影響を受ける資産の合計数

資産は次のカテゴリに分類されます。

  • デバイス
  • ユーザー
  • メールボックス
  • アプリ
  • クラウド リソース

脅威分析レポートの影響を受けた資産セクションのスクリーンショット。

エンドポイントの公開: セキュリティ更新プログラムの展開状態を把握する

[エンドポイントの公開] セクションには、脅威に対するorganizationの露出レベルが表示されます。 公開レベルは、脅威が悪用する脆弱性と構成ミスの重大度と、これらの脆弱性を持つデバイスの数に基づいて計算されます。

このセクションでは、オンボードされたデバイスで見つかった脆弱性に対してサポートされているソフトウェア セキュリティ更新プログラムの展開状態についても説明します。 Microsoft Defender 脆弱性の管理からのデータが組み込まれており、レポート内のさまざまなリンクからの詳細なドリルダウン情報も提供されます。

脅威分析レポートの [エンドポイントの公開] セクション

[ 推奨されるアクション ] タブで、脅威に対する組織の回復性を高めるのに役立つ特定の実用的な推奨事項の一覧を確認します。 追跡対象の軽減策の一覧には、次のようなサポートされているセキュリティ構成が含まれています。

  • クラウドによる保護
  • 望ましくない可能性のあるアプリケーション (PUA) 保護
  • リアルタイム保護

脆弱性の詳細を示す脅威分析レポートの [推奨されるアクション] セクション

インジケーター: 脅威の背後にある特定のインフラストラクチャと証拠を表示する (プレビュー)

[ インジケーター ] タブには、脅威に関連するすべての侵害インジケーター (IOC) の一覧が表示されます。 Microsoft の研究者は、脅威に関連する新しい証拠を見つけると、これらの IOC をリアルタイムで更新します。 この情報は、修復とプロアクティブハンティングを行うセキュリティ オペレーション センター (SOC) および脅威インテリジェンス アナリストに役立ちます。 一覧には期限切れの IOC も保持されるため、過去の脅威を調査し、環境内での影響を把握できます。

脅威分析レポートの [インジケーター] タブのスクリーンショット。

重要

[ インジケーター ] タブの情報にアクセスできるのは、確認済みのお客様のみです。この情報にアクセスできない場合は、テナントを確認する必要があります。 IOC へのアクセスの取得に関する詳細情報

最新のレポートと脅威インテリジェンスで最新情報を入手する

脅威分析は、さまざまなMicrosoft Defender機能とMicrosoft Security Copilot機能を活用して統合し、環境に関連する新しいレポートや新しい脅威インテリジェンスが利用可能になったときに、あなたと SOC チームを更新し続けます。

脅威インテリジェンス ブリーフィング エージェントを設定する

脅威インテリジェンス ブリーフィング エージェントを設定して、最新の脅威アクター アクティビティと内部および外部の脆弱性の両方に基づく詳細な技術分析を使用して、適切なタイミングで関連する脅威インテリジェンス レポートを取得します。 エージェントは、Microsoft の脅威データと顧客シグナルを関連付けて、脅威情報に重要なコンテキストを数分で追加し、アナリスト チームの時間や、インテリジェンスの収集と関連付けに費やす日数を節約します。

デプロイが完了すると、脅威インテリジェンス ブリーフィング エージェントが [脅威分析] ページの上部にバナーとして表示されます。

[脅威分析] ページの上部にある [脅威インテリジェンスブリーフィング エージェント] バナーのスクリーンショット。

脅威インテリジェンス ブリーフィング エージェントの詳細

カスタム検出ルールを設定し、脅威分析レポートにリンクします。 これらのルールがトリガーされ、アラートによってインシデントが生成された場合、そのインシデントにレポートが表示され、他の Microsoft が定義した検出と同様に、[ 関連インシデント ] タブにインシデントが表示されます。

[脅威分析] オプションが強調表示されているカスタム検出セットアップ ページのスクリーンショット。

カスタム検出ルールの作成と管理の詳細

レポートの更新に関する電子メール通知を設定する

脅威分析レポートで更新を送信する電子メール通知を設定します。 電子メール通知を作成するには、「Microsoft Defender XDRの脅威分析の更新プログラムの電子メール通知を取得する」の手順に従います。

その他のレポートの詳細と制限事項

脅威分析データを確認するときは、次の要因を考慮してください。

  • [ 推奨されるアクション ] タブのチェックリストには、 Microsoft Secure Score で追跡された推奨事項のみが表示されます。 [ アナリスト レポート ] タブで、セキュリティ スコアで追跡されないその他の推奨アクションを確認します。
  • 推奨されるアクションは、完全な回復性を保証するわけではありません。また、改善に必要な最善のアクションのみが反映されます。
  • ウイルス対策関連の統計は、Microsoft Defenderウイルス対策設定に基づいています。
  • 脅威分析のメイン ページの [ デバイスの構成が正しくない ] 列には、脅威に関連する推奨アクションがオンになっていない場合に、脅威の影響を受けるデバイスの数が表示されます。 ただし、Microsoft の研究者が推奨されるアクションをリンクしていない場合は、[ デバイスの構成ミス ] 列に状態 [ 利用できません] が表示されます。
  • [脅威分析] ページの [ 脆弱なデバイス ] 列には、脅威にリンクされている脆弱性のいずれかに対して脆弱なソフトウェアを実行しているデバイスの数が表示されます。 ただし、Microsoft 研究者が脆弱性をリンクしていない場合は、[ 脆弱なデバイス ] 列に状態 [ 利用できません] が表示されます。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。

  • Last updated on