次の方法で共有

Defender Experts for XDR レポートを使用してリアルタイムの可視性を取得する

適用対象:

レポートDefender Experts for XDR手順については、この短いビデオをチェックしてください。

Microsoft Defender Experts for XDRには、エキスパート アナリストがユーザーに代わって行っている作業の明確な概要、インシデントの状況に関する集計情報、特定のインシデントに関する詳細を示す対話型のオンデマンド レポートが含まれています。 また、サービス配信マネージャー (SDM) はレポートを使用して、毎月のビジネス レビュー中にサービスに関するより多くのコンテキストを提供します。

レポートの [レポートの概要] タブのスクリーンショットDefender Experts for XDR。

このレポートは、当社の専門家がリアルタイムまたは特定の期間中に環境内で調査および解決したインシデントに関するより多くの分析情報を提供するように設計されています。 Microsoft Defender ポータルでレポートを表示するには、[レポート] に移動し、[Defender Experts>XDR レポート] を選択します。 次の 2 つのセクションに分かれています。

レポートの概要: 調査されたインシデントをすばやく理解する

[ レポートの概要 ] タブには、過去 30 日間に環境内で解決されたインシデントの種類が表示され、運用の透明性が提供されます。 [ 結果の表示 ] でカスタムの日付範囲を選択して、特定の期間中のインシデントに関する詳細情報を取得することもできます。

解決されたインシデント

レポートの概要の上部セクションには、解決されたインシデントの割合が表示されます。 レポートには、次の図も示されています。

  • 調査されたインシデント - Microsoft がトリアージ、調査、または現在調査しているインシデント キューからのアクティブな脅威とその他のインシデントの数。
  • [解決されたインシデント ] - 調査されたインシデントの総数が閉じられました。
  • [直接解決済み ] - 調査されたインシデントのうち、お客様に代わって直接終了したインシデントの数。
  • ヘルプを使用して解決済み - 1 つ以上のマネージド応答タスクに対するアクションが原因で解決された調査済みインシデントの数。
  • サード パーティのエンリッチド - サード パーティのネットワーク信号でエンリッチされたインシデントの数。 このデータは、 サード パーティのネットワーク エンリッチメントに登録されている場合に使用できます。

インシデントを解決するための平均時間

[ インシデントを解決するための平均時間 ] セクションには、環境内のインシデントの調査と終了に専門家が費やした平均時間 (分) と、必要なマネージド応答アクションの実行に費やした平均時間の棒グラフが表示されます。

重大度、カテゴリ、サービス ソース別のインシデント

重大度別インシデントカテゴリ別インシデント、およびサービス ソース別インシデントセクションでは、解決されたインシデントをそれぞれ重大度、攻撃手法、Microsoft セキュリティ サービス ソース別に分類します。 これらのセクションでは、環境内で検出される潜在的な攻撃エントリ ポイントと脅威の種類を特定し、その影響を評価し、それらを軽減および防止するための戦略を開発できます。 [ 選択したインシデントの表示 ] を選択して、各セクションで行った選択に基づいてインシデント キューのフィルター処理されたビューを取得します。

影響を受けた最も影響を受けた資産

[ 最も影響を受けた資産 ] セクションには、選択した期間中にインシデントの数が最も多かった環境内のユーザーとデバイスが表示されます。 各資産が関与したインシデントの数を確認できます。 資産を選択して、その資産を含むインシデントに基づいてインシデント キューのフィルター処理されたビューを取得します。

MITRE 戦術によって解決されたインシデント

[MITRE 戦術によって解決されたインシデント] セクションには、調査されたインシデントの合計数と、関連する脅威戦術によって分類された真の陽性インシデントが解決されました。 これらの脅威戦術は 、MITRE ATT&CK 攻撃フレームワークに基づいており、対応する軽減アクションを計画できるように、各攻撃フェーズでインシデントが何を達成しようとしているかを視覚化するのに役立ちます。

既定では、このセクションでは、インシデントが関連付けられているかどうかに関係なく、すべての戦術カテゴリが表示されます。 関連するインシデントを含む戦術のみを表示するには、[ すべての戦術を表示 ] ボタンをオフにします。

重大度とカテゴリによって解決されるインシデント

[ 重大度とカテゴリ別に解決されたインシデント ] セクションには、対応する重大度と脅威カテゴリによって分類された、解決されたインシデントの合計数を示す棒グラフが表示されます。

既定では、このセクションでは、解決されたすべてのインシデントの種類 (真陽性、誤検知、情報) のデータが表示されます。 [インシデントの種類の選択] ドロップダウン ボックスで対応するオプションを選択することで、これらの異なる インシデントの種類 で結果をフィルター処理できます。

アクションを必要とするインシデント

[ アクションが必要なインシデント ] セクションには、エキスパートが調査したが、1 つ以上のマネージド対応タスクを通じてチームからさらにアクションが必要だったインシデントの数が表示されます。 完了したアクション、保留中、スキップ済み、または実行済みとしてマークされたが失敗したアクションの数が要約されます。 また、重大度に基づいてこれらのインシデントの横棒グラフも表示されます。

このセクションでは、インシデント タイトルの一覧とそれに対応する重大度、必要なアクションの数、およびこれらのアクションの状態を示すテーブルも表示します。 重大度とアクションの状態に応じてインシデントを並べ替えたりフィルター処理したりして、インシデントをより適切に管理できます。 インシデント タイトルを選択すると、対応するインシデント ページが開き、そこで必要なマネージド応答アクションを実行できます。

レポートの [ 傾向 ] タブには、インシデントの重大度、MITRE の戦術、脅威の種類に応じて視覚化された、過去 6 か月間の調査および解決されたインシデントの毎月の量が表示されます。 [傾向] セクションでは、Defender Experts が、1 か月ごとに重要な運用メトリックを表示することで、セキュリティ操作を大幅に改善している方法についての分析情報を提供します。

レポートの [傾向] タブDefender Experts for XDRスクリーンショット。

視覚化は、重大度 別インシデントMITRE によるインシデント戦術、および 分類別インシデント セクションにそれぞれ表示されます。 セクションごとに、[インシデントの種類の選択] ドロップダウン ボックスで対応するオプションを選択することで、さまざまな インシデントの種類 (真陽性、誤検知、情報) に従ってデータをフィルター処理できます。 重大度 別インシデントMITRE によるインシデントの戦術 セクションには、[ 選択したインシデントの表示 ] ボタンもあります。このボタンを選択すると、これらの各セクションで行った選択に基づいて、インシデント キューのフィルター処理されたビューを取得できます。

[ 傾向 ] タブには、 マネージド応答タスクの完了と効率 ウィジェットもあります。これは、チームが毎月完了したマネージド応答タスクの毎月の量と、チームがそれらのタスクを完了するのにかかった中央値の時間を示します。 このウィジェットは、チームの応答の有効性と効率の急増を特定するのに役立ちます。これは、攻撃者が初期アクセスと横移動の間の時間を短縮し続けるにつれてますます重要になります。

Defender Experts for XDR レポートのマネージド応答タスクの完了と効率ウィジェットのスクリーンショット。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。

  • Last updated on