注:
この記事では、Microsoft Defender XDRのセキュリティ アラートについて説明します。 ただし、アラート ポリシーを使用すると、ユーザーが Microsoft 365 で特定のアクティビティを実行するときに、自分または他の管理者に電子メール通知を送信できます。 詳細については、Microsoft Defender ポータルのアラート ポリシーに関するページを参照してください。
注:
この記事はDefender XDRに固有のものですが、これらのアラートにアクセスするために必ずしも XDR ライセンスは必要ありません。 たとえば、Microsoft Defender for Office 365がある場合は、この記事で説明されている場所にアラートが表示されます。 ライセンス レベルに応じて、Defender設定カタログの一部のDefender XDR設定にアクセスできます。 365 のDefenderの詳細については、Microsoft Defender for Office 365ドキュメントを参照してください。
アラートは、さまざまな脅威検出アクティビティに起因するシグナルです。 これらのシグナルは、Microsoft Defender ポータルに存在する多数のセキュリティ サービスによって生成され、環境内で悪意のあるイベントまたは疑わしいイベントが発生したことを示します。
通常、これらの疑わしいイベントは、より広範な攻撃ストーリーの一部です。 Microsoft Defender ポータルでは、アラートは、Defender XDRがインシデントを形成するために相互に関連付けられる個々の証拠を表します (インシデントの概要を参照)。 インシデントは、攻撃のストーリー全体を伝えます。ただし、より詳細な分析が必要な場合は、アラートの分析が重要な場合があります。
[アラート] キューには、現在のアラート のセットが表示されます。 > のクイック起動にある [インシデントとアラート] [アラート] から、アラート キュー全体を表示できます。 インシデント キューと個々のインシデントのページの [アラート] タブで、各インシデントの アラートを 確認することもできます。
Microsoft Defender for Endpoint、Defender for Office 365、Microsoft Sentinel、Defender for Cloud、Defender for Identity、Defender for Cloud Apps、Defender XDRなど、さまざまな Microsoft セキュリティ ソリューションからのアラート、アプリ ガバナンス、Microsoft Entra ID保護、Microsoft データ損失防止がここに表示されます。
既定では、Microsoft Defender ポータルのアラート キューには、過去 7 日間の新しい進行中のアラートが表示されます。 最新のアラートは一覧の一番上に表示されるため、最初に目に入ります。 検索バーの横に示されているキュー内 のアラートの合計数 も確認できます。 アラートの合計数は、キューで使用されるフィルターによって異なります。
既定のアラート キューから[ フィルター] を選択すると、使用可能なすべてのフィルターを表示し、そこからアラートのサブセットを指定できます。 次に例を示します。
アラートは、以下の条件についてフィルター処理できます。
- 重大度
- 状態
- カテゴリ
- サービス/検出ソース
- タグ
- ポリシー/ポリシールール
- アラートの種類
- 製品名
- アラート サブスクリプション ID
- エンティティ (影響を受けたアセット)
- 自動調査の状態
- ワークスペース
- データ ストリーム (ワークロードまたは場所)
- 機密ラベル
注:
Microsoft Defender XDR のお客様は、Microsoft Defender for IoT と Microsoft Defender for Endpoint のデバイス検出統合を通じて、侵害されたデバイスがエンタープライズ ネットワークに接続された運用テクノロジ (OT) デバイスと通信したことを示すアラートを含むインシデントをフィルターできるようになりました。 これらのインシデントをフィルター処理するには、サービス/検出ソースで [任意] を選択し、[製品名] で [IoT のMicrosoft Defender] を選択するか、Defender ポータルの 「Microsoft Defender for IoT のインシデントとアラートを調査する」を参照してください。 デバイス グループを使用して、サイト固有のアラートをフィルター処理することもできます。 Defender for IoT の前提条件の詳細については、「Microsoft Defender XDRでのエンタープライズ IoT 監視の概要」を参照してください。
アラートには、特定の色の背景を持つシステム タグやカスタム タグを含めることができます。 カスタム タグでは白の背景が使用され、システム タグでは通常、赤または黒の背景色が使用されます。 システム タグは、インシデント内の次の情報を識別します。
- ランサムウェアや資格情報フィッシングなどの攻撃の種類
- 自動調査や対応、自動攻撃の中断などの自動アクション
- インシデントを処理する Defender エキスパート
- インシデントに関連する重要な資産
ヒント
Microsoft のセキュリティ露出管理は、定義済みの分類に基づいて、デバイス、ID、クラウド リソースを重要な資産として自動的にタグ付けします。 このすぐに使える機能により、organizationの貴重で最も重要な資産を確実に保護できます。 また、セキュリティ運用チームが調査と修復の優先順位を付けるのにも役立ちます。 重要な資産管理について詳しく知る。
重要
この記事の一部の情報は、リリース前の製品に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここで提供される情報に関して、明示または黙示を問わず一切保証しません。
カスタムの日付と時刻の範囲を使用するか、検索バーを使用して特定のアラートを検索することで、アラートを検索できます。 特定の日付または時刻範囲内のアラートを検索するには、日付ピッカーで [カスタム範囲 ] を選択し、開始日と終了日の日付と時刻を指定します。
特定のアラートを検索するには、検索バーに検索用語を入力します。 アラートのタイトルまたはアラート ID に基づいてアラートを検索できます。
Permissions
Microsoft Defender ポータルでのアラートへのアクセスは、Microsoft Defenderのアクセス許可とロールの割り当てによって制御されます。
ロールの割り当て
次のロールの割り当てを使用して、アラートを表示するために必要なアクセス許可を受け取ることができます。
- セキュリティ閲覧者、セキュリティ オペレーター、セキュリティ管理者などの Microsoft Entra ロール。
- Security data basics (read) などのセキュリティ データへのアクセス許可を含む Microsoft Defender のカスタム ロール
詳細については、「Microsoft Defender統合ロールベースのアクセス制御 (RBAC)のアクセス許可」を参照してください。
注:
Microsoft Sentinel データでは、引き続き Microsoft Sentinel ワークスペースのアクセス許可が使用されます。 Microsoft Sentinelデータを含むアラートを表示するには、対応する Sentinel ワークスペースに対する適切なAzure RBAC アクセス許可が必要です。 詳細については、「Microsoft Defender ポータルに Microsoft Sentinel を接続する」を参照してください。
アラートを分析する
アラートのメイン ページを表示するには、アラートの名前を選択します。 次に例を示します。
[アラートの管理] ウィンドウから [メインのアラート ページを開く] アクションを選択することもできます。
アラート ページは、次のセクションで構成されています。
- アラート ストーリー。これは、このアラートに関連するイベントとアラートのチェーンを時系列で示します
- 概要の詳細
アラート ページ全体で、任意のエンティティの横にある省略記号 (...) を選択して、アラートを別のインシデントにリンクするなど、使用可能なアクションを表示できます。 使用可能なアクションの一覧は、アラートの種類によって異なります。
アラート ソース
Microsoft Defender XDRアラートは、Microsoft Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、アプリ ガバナンス アドオンなどのソリューションから発生します。Microsoft Defender for Cloud Apps、Microsoft Entra ID保護、Microsoft データ損失防止。 アラートの先頭に文字が付加されたアラートが表示される場合があります。 次の表は、アラートの先頭に追加された文字に基づくアラート ソースのマッピングを理解するのに役立つガイダンスです。
注:
- 先頭に付加される GUID は、統合アラート キュー、統合アラート ページ、統合調査、統合インシデントなどの統合エクスペリエンスにのみ固有です。
- 先頭に追加された文字は、アラートの GUID を変更しません。 GUID への唯一の変更は、先頭に付加されるコンポーネントのみです。
| アラート ソース | 先頭に付加された文字を含むアラート ID |
|---|---|
| Microsoft Defender XDR | ra{GUID} ta{GUID} ThreatExperts からのアラート向け ea{GUID} カスタム検出からのアラートの場合 |
| Microsoft Defender for Office 365 | fa{GUID} 例: fa123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー) | da{GUID} ed{GUID} カスタム検出からのアラートの場合 |
| Microsoft Defender for Identity | aa{GUID} ri{GUID} XDR 検出エンジンからのアラートの場合 例: aa123a456b-c789-1d2e-12f1g33h445h6i、 ri001122334455667788_-0123456789 |
| Microsoft Defender for Cloud Apps(クラウドアプリを守るマイクロソフトのセキュリティサービス) | ca{GUID} ma{GUID} App Governance の検出とポリシーのアラート用 rm{GUID} XDR 検出エンジンからのアラートの場合 例: ca123a456b-c789-1d2e-12f1g33h445h6i |
| Microsoft Entra ID 保護 | ad{GUID} |
| アプリ ガバナンス | ma{GUID} |
| Microsoft データ損失防止 | dl{GUID} |
| Microsoft Defender for Cloud | dc{GUID} |
| Microsoft Sentinel | sn{GUID} |
| Microsoft Purview インサイダー リスク管理 | ir{GUID} |
| Microsoft Security Copilot | sc{GUID} |
注:
Microsoft Purview インサイダー リスク管理へのアクセスをプロビジョニングしている場合は、Microsoft Defender ポータルでインサイダー リスク管理アラートを表示および管理し、インサイダー リスク管理イベントを探すことができます。 詳細については、「Microsoft Defender ポータルでインサイダー リスクの脅威を調査する」を参照してください。
アラート サービスの設定を構成する
Microsoft Defender XDRでアラート サービス設定を構成するには:
Microsoft Defender ポータル (security.microsoft.com) に移動し、設定>Microsoft Defender XDR を選択します。
一覧から [ アラート サービスの設定] を選択し、サービスのアラート設定を構成します。
重要
2025 年 12 月 11 日から、Microsoft Defender XDRはパブリック プレビューでEntra ID Protection アラートの拡張構成オプションを展開しています。 これらの更新により、リスクベースのアラートをより詳細に制御できます。 新しい既定の設定は、 高リスク検出のみです。 organizationのニーズに基づいて、既定の設定を [高 + 中] または [すべての検出] に変更します。
アラート サービスの設定には、Microsoft Defender ポータルの [インシデント] ページから直接アクセスすることもできます。
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
影響を受けたアセットを分析する
アラートの詳細ページの [ アクションの実行 ] セクションには、影響を受けた資産 (メールボックス、デバイス、アラートの影響を受けるユーザーなど) が一覧表示されます。
[アクション センターで表示] を選択して、Microsoft Defender ポータルのアクション センターの [履歴] タブを表示することもできます。
アラート ストーリーにおけるアラートの役割をたどる
アラート ストーリーには、アラートに関連するすべてのアセットまたはエンティティがプロセス ツリー ビューで表示されます。 アラートの詳細ページでは、ページ タイトルに名前が付けられたアラートが最初にフォーカスされているアラートです。 アラート ストーリー内の資産は、展開およびクリック可能です。 そこでは追加情報が提供されるとともに、アラート ページのコンテキスト内から直接アクションを行うことができるため、対応を迅速化します。
注:
アラート ストーリー セクションには複数のアラートが含まれている場合があり、同じ実行ツリーに関連する追加のアラートは、選択したアラートの前後に表示されます。
詳細ページでアラートの詳細情報を表示する
[詳細] ページには、選択したアラートの詳細と、それに関連する詳細とアクションが表示されます。 アラート ストーリーで影響を受けたアセットまたはエンティティのいずれかを選択すると、詳細ページが変更され、選択したオブジェクトのコンテキスト情報とアクションが提供されます。
関心のあるエンティティを選択すると、詳細ページが変更され、選択したエンティティの種類に関する情報、使用可能な場合の履歴情報、アラート ページから直接このエンティティに対してアクションを実行するためのオプションが表示されます。
アラートの管理
アラートを管理するには、アラート ページの概要の詳細セクションで [アラートの管理] を選択します。 アラートが 1 つの場合の [アラートの管理] ウィンドウの例を下に示します。
[ アラートの管理 ] ウィンドウでは、次の情報を表示または指定できます。
- アラートの状態 (新規、解決済み、進行中)。
- アラートが割り当てられたユーザー アカウント。
- アラートの分類:
- [未設定] (既定値)。
- 脅威の種類を伴う真陽性 この分類は、実際の脅威を正確に示すアラートに使用します。 この脅威の種類を指定すると、セキュリティ チームに警告が送られ、脅威のパターンを把握して、組織をそれらの脅威から守るための対策を講じることができます。
- 情報提供用の、想定されるアクティビティで、アクティビティの種類を伴うもの。 このオプションは、技術的には正確ですが、通常の動作またはシミュレートされた脅威アクティビティを表すアラートに使用します。 通常、これらのアラートは無視する必要がありますが、実際の攻撃者やマルウェアによってアクティビティがトリガーされる将来、同様のアクティビティを想定しています。 このカテゴリのオプションを使用して、セキュリティ テスト、赤いチーム アクティビティ、および信頼できるアプリとユーザーからの予期される異常な動作に関するアラートを分類します。
- 悪意のある活動がないにもかかわらず作成された、または誤報によるアラートの種類に対する誤検知。 このカテゴリのオプションを使用して、通常のイベントまたはアクティビティとして誤って特定されたアラートを悪意のある、または疑わしいと分類します。 実際の脅威をキャッチするのにも役立つ可能性がある "Informational, expected activity"のアラートとは異なり、通常、これらのアラートを再び表示する必要はありません。 アラートを誤検知として分類すると、Microsoft Defender XDR の検出品質の向上に役立ちます。
- アラートに関するコメント。
注:
2022 年 8 月には、以前にサポートされていたアラート判定値 (
AptとSecurityPersonnel) は非推奨となり、API を介して使用できなくなります。タグを使用してアラートを管理する 1 つの方法。 Office 365のMicrosoft Defenderのタグ付け機能は現在プレビュー段階であり、段階的にロールアウトされています。
現在、変更されたタグ名は、更新 後 に作成されたアラートにのみ適用されます。 変更前に生成されたアラートには、更新されたタグ名は反映されません。
特定のアラートに似た一連のアラートを管理するには、アラート ページの [概要の詳細] セクションの [分析情報] ボックスで [同様のアラートを表示する] を選択します。
[アラートの管理] ウィンドウで、関連するすべてのアラートを同時に分類できます。 次に例を示します。
同様のアラートが過去に既に分類されている場合は、Microsoft Defender XDR推奨事項を使用して、他のアラートがどのように解決されたかを確認することで、時間を節約できます。 概要の詳細セクションで、[推奨事項] を選択します。
[推奨事項] タブには、次のステップのアクションと調査、修復、防止に関するアドバイスが表示されます。 次に例を示します。
組み込みのアラート チューニング ルール
Microsoft Defender XDRには、一般的な良性アクティビティからのレポート ノイズを減らすのに役立つ組み込みのアラート チューニング ルールが含まれています。 これらの組み込みルールは、AIR 調査や電子メール通知などの他の機能に影響を与えずにアラートを抑制します。 AIR 調査で悪意のあるアクティビティまたは疑わしいアクティビティが検出された場合は、新しいアラートが再アクティブ化されます。
Microsoft Defender portal で組み込みのアラート チューニング ルールを確認するには、System>Settings>Microsoft Defender XDR>Rules セクションの >Alert tuning に移動するか、 の https://security.microsoft.com/securitysettings/defender/alert_suppression ページに直接移動します。
これらのルールを確認して、Microsoft Defender ポータルに表示されるアラートに与える影響を理解してください。
注:
Microsoft Security Copilotフィッシングトリアージエージェントは、アラートチューニングによって抑制されたアラートを分類しません。 自動解決 - ユーザーによってマルウェアまたはフィッシングとして報告されたメール の組み込みアラート チューニング ルールと、このアラートを抑制するカスタム チューニング ルールを必ず無効にしてください。
アラートを調整する
セキュリティ オペレーション センター (SOC) アナリストとして、一番の問題の 1 つは、毎日トリガーされる膨大な数のアラートをトリアージすることです。 重大度の高いアラートと優先度の高いアラートのみに焦点を当てる必要がある一方で、アナリストは手動プロセスになる傾向がある優先順位の低いアラートをトリアージして解決する必要もあります。 アラートのチューニング (以前は アラート抑制) を使用すると、想定される組織の動作が発生し、ルール条件が満たされたときにアラートを自動的に非表示または解決できます。 これにより、アラート キューが合理化され、トリアージ時間が節約されます。
アラート チューニング ルールでは、ファイル、プロセス、スケジュールされた タスク、アラート をトリガーするその他の種類の証拠などの証拠の種類に基づく条件がサポートされます。 アラートチューニングルールを作成したら、選択したアラートまたは定義された条件を満たすアラートの種類に適用してアラートを調整します。
Microsoft Defender XDRには、一般的な良性アクティビティからのレポート ノイズを減らすのに役立つ組み込みのアラート チューニング ルールが含まれています。 これらの組み込みルールは、AIR 調査や電子メール通知などの他の機能に影響を与えずにアラートを抑制します。 AIR 調査で悪意のある、または疑わしいアクティビティが検出された場合、Defender XDR が抑制されたアラートを再アクティブ化します。
また、特定の条件が満たされたときに次のいずれかのアクションを実行する独自のカスタム アラート チューニング ルールを作成することもできます。
- アラートを非表示にする: アラートを抑制し、インシデントの作成を防ぎます。 非表示のアラートは 、AlertInfo テーブルと AlertEvidence テーブルに残ります。 このアクションは、Defender for Endpoint アラートにのみ適用されます。
- アラートを解決する: アラートと関連するインシデントを自動的に解決します。 一致するアラートとそれに関連するインシデントは、解決された状態でトリガーされます。
- 動作として設定: 一致するシグナルを動作に変換します。 アラート キューに表示されず、インシデントも生成しません。 データは、ハンティングのために BehaviorInfo テーブルと BehaviorEntities テーブルに残ります。 このアクションは、Defender for Cloud やOffice 365アラートのMicrosoft Defenderではサポートされていません。
Microsoft Defender XDRには、自動調査と応答 (AIR) 調査と電子メール通知に影響を与えることなく、一般的な良性アクティビティからのアラートを抑制する組み込みのアラート チューニング ルールも含まれています。
注意
既知の内部ビジネス アプリケーションまたはセキュリティ テストによって予期されるアクティビティがトリガーされるシナリオでは、注意してアラート チューニングを使用します。
ルール条件を作成してアラートを調整する
[Microsoft Defender XDR設定] 領域またはアラートの詳細ページからアラート チューニング ルールを作成します。 次のいずれかのタブを選択して続行します。
[設定] ページからアラート チューニング ルールを作成するには、次の手順に従います。
Microsoft Defender ポータルで、[設定] > Microsoft Defender XDR > [アラートのチューニング] を選択します。
[ 新しいルールの追加] を選択して新しいアラートを調整するか、既存のルール行を選択して変更を加えます。 ルール タイトルを選択すると、ルールの詳細ページが開き、関連付けられているアラートの一覧を表示したり、条件を編集したり、ルールのオンとオフを切り替えたりできます。
[ アラートの調整 ] ウィンドウの [ サービス ソースの選択] で、ルールを適用するサービス ソースを選択します。 アクセス許可を持つサービスのみが一覧に表示されます。 例:
[ 条件] 領域に、アラートのトリガーの条件を追加します。 たとえば、特定のファイルの作成時にアラートがトリガーされないようにするには、 File:Custom トリガーの条件を定義し、ファイルの詳細を定義します。
一覧表示されるトリガーは、選択したサービス ソースによって異なります。 トリガーは、マルウェア対策スキャン インターフェイス (AMSI) スクリプト、Windows Management Instrumentation (WMI) イベント、スケジュールされたタスクなど、アラートをトリガーする可能性があるファイル、プロセス、スケジュールされたタスク、その他の証拠の種類など、すべての侵害 (IOC) のインジケーターです。
複数のルール条件を設定するには、[フィルターの追加と使用] および [OR] オプション、およびグループ化オプションを選択して、アラートをトリガーする複数の証拠の種類間のリレーションシップを定義します。 追加の証拠プロパティは、条件値を定義できる新しいサブグループとして自動的に設定されます。 条件値では大文字と小文字は区別されず、一部のプロパティではワイルドカードがサポートされています。
[アラートの調整] ウィンドウの [アクション] 領域で、ルールで実行する関連アクションを選択します。 [ アラートの非表示]、[ アラートの解決]、または [動作として設定] から選択します。
アラートのわかりやすい名前と、アラートを説明するコメントを入力し、[保存] を選択 します。
注:
アラート タイトル (名前) は、アラート の種類 (IoaDefinitionId) に基づいており、アラート タイトルを決定します。 同じアラートの種類を持つ 2 つのアラートが、別のアラート タイトルに変更される可能性があります。 [アラートの非表示] 機能は、Defender for Endpoint アラートでのみ使用できます。
アラートの詳細ページからアラート調整ルールを作成した後、表示される [成功したルールの作成 ] ページで、アラート関連の IOC のいずれかをインジケーターとして 許可リスト に追加して、今後ブロックされないようにします。 アラート チューニング ルールの一部として構成されている IOC は、既定で選択されます。 例:
- ファイルを許可する証拠 (IOC) を選択リストに追加します。 既定では、アラートをトリガーしたファイルは既に選択されています。
- 値に適用する [スコープの選択] のスコープを定義します。 既定では、アラートに適用されるスコープが選択されています。
- [ 保存] を 選択して、許可リストにファイルを追加し、ブロックされないようにします。
アラートを解決する
アラートの分析が完了し、解決可能な場合は、そのアラートまたは類似のアラートの Manage alert ペインに移動し、状態を Resolved に設定してから、脅威の種類を指定した 真陽性、アクティビティの種類を指定した 情報提供、想定されたアクティビティ、または 偽陽性 として分類します。
アラートを分類すると、検出品質Microsoft Defender XDR向上させることができます。
Power Automate を使用してアラートをトリアージする
最新のセキュリティ運用 (SecOps) チームは、効果的に機能するための自動化を必要とします。 SecOps チームは、実際の脅威のハンティングと調査に集中するために、Power Automate を使用してアラートの一覧をトリアージし、脅威ではないアラートを排除します。
アラートを解決するための条件
このPower Automate例では、フローは次の条件をチェックして、アラートを自動的に解決するかどうかを決定します。
- ユーザーが不在時メッセージを有効にしている
- ユーザーが高リスクとしてタグ付けされていない
ユーザーが不在時のメッセージを有効にしていて、高リスクとしてタグ付けされていない場合、SecOps はアラートを正当な移動としてマークし、解決します。 通知は、アラートが解決された後、Microsoft Teamsに投稿されます。
Power Automate をMicrosoft Defender for Cloud Appsに接続する
自動化を作成するには、Power Automate をMicrosoft Defender for Cloud Appsに接続する前に API トークンが必要です。
Microsoft Defender ポータルを開き、設定>Cloud Apps>API トークンを選択し、[API トークン] タブで [トークンの追加] を選択します。
トークンの名前を指定し、[ 生成] を選択します。 後で必要に応じてトークンを保存します。
自動フローを作成する
Power AutomateをDefender for Cloud Appsに接続し、自動アラート トリアージ ワークフローを作成する方法については、次のビデオをご覧ください。
動的脅威検出エージェントを使用してアラートをトリアージする
Microsoft DefenderのMicrosoft Security Copilotには、Defender 環境とMicrosoft Sentinel環境全体で隠された脅威を検出する、常時オンのアダプティブ バックエンド サービスである動的脅威検出エージェントが含まれています。 AI を使用して、アラート、イベント、異常、脅威インテリジェンスを関連付けることで、ギャップを特定し、偽陰性を明らかにします。 エージェントがギャップを識別すると、自然言語の説明、 マップされた MITRE ATT&CK 手法、調整された修復手順など、アラートの詳細に完全なコンテキストを含む動的アラートが生成されます。
詳細については、「動的脅威検出エージェントMicrosoft Security Copilot」を参照してください。
次の手順
進行中のインシデントについて必要に応じて、インシデント調査を継続します。
関連するコンテンツ
ヒント
もっと詳しく知りたいですか? Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。