Microsoft Defender ATPの自動調査・自動修復

セキュリティ担当者は、日々アラートの対応に追われているという方も多いのではないでしょうか。
本当に安全なセキュリティの運用とは、“自動化”が鍵になると思います。日々飛んでくる(似たような)アラートを精査することは機械に任せて、セキュリティ担当者は、セキュリティポリシーの精査や社内への周知・徹底、啓蒙活動に重きを置くべきだと思います。

Microsoft Defender ATP の自動調査機能では、さまざまな検査アルゴリズムを利用してアラートを調査し、違反を解決するための修復アクションを実行します。 これによりアラートの量は大幅に削減され、セキュリティ担当者はより高度な脅威や本来もっとやるべき業務に集中することができます。

自動調査を有効にする

自動調査を有効にするには、[設定]>[Advanced features]画面から、[Automated Investigation]を[On]にして、ページ下部の[Save preferences]をクリックします。

これだけで自動調査が有効になります。全ての端末で自動調査が有効になり、「自動調査」画面に、 自動的に開始されたすべての調査が表示され、その状態、検出ソース、調査が開始された日付などのその他の詳細が表示されます。

デフォルトでは、修復は半自動の状態となっており、[自動調査]画面に表示される修復内容を管理者が承認することで、修復アクションが実行されます。


これは、誤検知した内容を修復してしまうリスクを避けるためですが、ケースによっては完全自動化したい、もしくは一部を自動化したい場合もあるのではないでしょうか。

自動修復を設定する

Defender ATPではPCをグルーピングして、グループ毎に自動修復の動作を下記5パターンに設定することができます。

オートメーションレベル説明
保護されませんコンピューターでは、自動調査は実行されません。
修復に対して承認を必須にするこれは既定のレベルです。

すべての修復アクションに承認が必要です。
一時フォルダー以外の修復に対して承認を必須にする一時フォルダー( ユーザーのダウンロードフォルダーやユーザーの temp フォルダーなど )以外の修復アクションには承認が必要です。

一時フォルダーの修復アクションは、必要に応じて自動的に実行されます。
主要なフォルダーの修復に対して承認を必須にする オペレーティングシステムディレクトリ (Windows フォルダーや Program files フォルダーなど)の修復アクションには承認が必要です。

他のすべてのフォルダーの修復アクションは、必要に応じて自動的に実行されます。
修復アクションを全て自動的に行うすべての修復アクションが自動的に実行されます。

まず、PCをグループ分けするために、各PCにタグを付けます。
ここでは「Guest」というタグを付けています。

ナビゲーションウィンドウで、[設定]>[コンピューターグループ] 画面を開き、[コンピューターグループの追加] をクリックします。

グループに所属するには、端末名やドメイン名やタグで分類できます。
ここでは、[Tag]欄に[Guest]と入力することで、[Guest]とタグ付けしたPCがこのグループに所属します。
その他、グループ名や自動修復レベルを選択して[Done]ボタンをクリックします。

部署や権限などで分類する数だけ、自動修復レベルグループを作成します。

Defender ATPでは、それぞれの組織にあわせた自動調査・自動修復の設定を行うことで、より安全で、より効率的なセキュリティの運用を行うことができます。