Microsoft Defender ATPの使い方~その1~

社内のセキュリティ担当者が実際に日々行う業務についてです。
Defender ATPは、高機能なだけではなく、わかりやすい画面構成や運用をサポートしてくれる機能があります。
どんなに検知率が高いツールであったとしても、使いにくかったり難しかったりするツールでは意味がありません。
運用しやすいツールであることは、セキュリティを常に安全に保つための最重要ポイントだと思います。

セキュリティセンタートップ画面

Defender ATPを開くと、まずはじめに開くのがこの画面になります。
現在のセキュリティの全体像が把握できるようになっています。

アクティブなアラート

ネットワークの過去30日間のアクティブなアラートの合計数をタイルから確認できます。 アラートは [New] (新規) と [In progress] (処理中) に分類されます。

各グループは、さらにアラートの重大度レベルに分類されます。 各アラート リング内に表示されているアラート数をクリックすると、そのカテゴリのキューを整理したビューが表示されます ([New] (新規) または [In progress] (処理中))。各行には、1 つのアラート重大度カテゴリと、アラートの短い説明が含まれます。 通知をクリックすると、その詳細ビューが表示されます。

危険な端末

このタイルでは、アクティブなアラートが最も多く発生しているコンピューターの一覧が表示されます。 コンピューター名の横の円の中に、各コンピューターの合計アラート数が表示され、タイルの右端に重大度レベルごとの内訳が表示されます (重大度の縦線をポイントするとラベルが表示されます)。

コンピューターの名前をクリックすると、コンピューターに関する詳しい情報が表示されます。 詳細については、「 Microsoft Defender Advanced Threat Protection マシン」の一覧でコンピューターを調査します。
タイル上部の [Machines list] (コンピューター一覧) をクリックして、アクティブなアラート数で並べ替えられた [Machines list] (コンピューター一覧) に直接移動することもできます。

センサーの正常性

[センサーの正常性] タイルには、個々のコンピューターの機能に関する情報が表示され、MICROSOFT Defender ATP サービスにセンサーデータを提供できます。 注意が必要なコンピューターの数が報告され、問題があるコンピューターを識別するのに役立ちます。

サービスに正しく報告していないコンピューターの数に関する情報を提供するステータス インジケーターが 2 つあります。

  • 正しく構成されていません。これらのコンピューターでは、一部が MICROSOFT Defender ATP サービスにセンサーデータを報告しており、修正する必要がある構成エラーが発生している可能性があります。
  • 非アクティブ-過去1ヶ月以内に MICROSOFT Defender ATP サービスへの報告が停止されているコンピューター。

いずれかのグループをクリックすると、選択内容に基づいてフィルター処理されたコンピューターの一覧が表示されます。

サービスの正常性

[Service health] (サービスの正常性) タイルは、サービスがアクティブであるかどうかや、問題があるかどうかを通知します。

端末の日々の推移

[Daily machines reporting] (日付ごとの報告があるコンピューター) タイルでは、過去 30 日間の日付ごとに報告しているコンピューターの数を表す棒グラフが表示されます。 グラフでそれぞれの棒をポイントすると、日付ごとに報告があるコンピューターの正確な数を確認できます。

アクティブな自動調査

[アクティブな自動調査] タイルでは、ネットワーク内の過去30日間の自動調査の全体的な数を表示できます。 調査は保留中のアクションにグループ化され、コンピューターを待機して実行されます。

自動調査の統計

このタイルには、過去30日間の自動調査に関連する統計が表示されます。 完了した調査の数、正常に修復された調査の数、調査が開始されるまでの期間の平均、通知の修復にかかる平均時間、調査対象の通知の数を示すことができます。一般的な手動調査から保存されたオートメーションの時間数。

自動調査、再 mif された調査、およびアラートをクリックして、適切なカテゴリでフィルター処理された [調査] ページに移動することができます。 これにより、コンテキストの調査の詳細が表示されます。

危険な状態のユーザー

タイルには、最もアクティブなアラートと、高、中、低のアラートで発生したアラートの数が表示されたユーザーアカウントの一覧が表示されます。

ユーザー アカウントの詳細を表示するには、ユーザー アカウントをクリックします。