Microsoft Defender
for Endpoint

当社のアナリストの判断をもとにセキュリティ対応の精度を向上
お客様内部セキュリティ担当者の負担を低くすることが可能

当社のアナリストが高度な監視することで担当者の負担を軽減

Microsoft Defender for Endpointで発生した検知アラートを監視し、当社のアナリストが判断した脅威レベル2~4のアラートに対してメールにてエスカレーション通知を行います。
このエスカレーション通知に対し、お客様は必要に応じてメールでの問い合わせが可能です。
アナリストによる判断をもとにセキュリティ対応の精度を向上させ、お客様内部セキュリティ担当者の負担を低くすることが可能です。

SOC
脅威レベル
判断基準 監視内容 通知手段
レベル4 複数の端末に感染が広がっていると強く疑われるイベント アラート分析
ログの詳細分析
隔離を実施
(SLOを3時間とする)
メール
電話(レベル4のみ)
レベル3 1つの端末でマルウェアの感染が強く疑われるイベント
レベル2 SOCでは安全であるか判断できないイベント アラート分析
ログの詳細分析
(ベストエフォート)
メール
レベル1 分析で問題なしと判断できたイベント アラート分析 なし
  • ※アラート分析の結果、レベル3と判断した場合は、MDfEの脅威レベルにかかわらず隔離を実施します。
  • ※アラート分析の結果、レベル1と判断した場合は、MDfEの脅威レベルにかかわらずご連絡(エスカレーション)はありません。
  • ※ホワイトリストチューニング期間中の隔離は実施いたしません。
  • ※分析対象の検知カテゴリはEDRです。
  • ※ブロックまたは自動復旧機能で無害化されたアラートは分析対象外です。

Microsoft Defender for Endpoint概要

大分類 中分類 内容(想定) 提供機能 通知手段 対応時間
対象デバイス Microsoft Defender ATP Microsoft Defender Advanced Threat Protection(ATP)の監視対象は、EDR機能から監視に有効なセキュリティログとします。
  • ※ブロックまたは自動復旧機能で無害化されたアラートは、脅威を防ぐことができたイベントとし、分析対象外とします。
対応OS Microsoft Defender ATPのクライアント端末は、WindowsOS(システム要件は省く)
セキュリティ監視 セキュリティアラート監視 Microsoft Defender ATPの監視対象ログを監視します。SOCアナリストが脅威があると判断したアラートに対してアラート分析及びMicrosoft Defender Security Centerにログオンしてログの詳細分析を行います。 24時間
365日
エスカレーション通知 分析の結果に基づき、当社基準にてお客様に脅威があると判断したアラートのみをエスカレーション(通知)します。一次エスカレーション通知の後に、追加情報がある場合は、追って二次エスカレーション通知を行う場合があります。
脅威レベル2以上と判断したアラートについて、検知内容、分析結果、推奨対策案を含めたエスカレーションを行います。
メール
(レベル4のみ電話)
セキュリティインシデント対応 分析結果に基づき、脅威レベル3、4のセキュリティインシデント対応を行います。
Microsoft Defender Security Centerの機能を用いて、管理画面にログオンしてクライアント端末のネットワーク隔離を実施します。
端末のネットワーク隔離から復帰については、お客様の判断、指示を元に対応を行います。
メール 24時間
365日
ホワイトリスト対応 ホワイトリスト追加登録 Microsoft Defender ATPがお客様の利用しているソフトウェアを検知(誤検知)することがあり、誤検知させないための設定です。
明らかに業務利用のソフトウェアが検知されていることが判明した場合は、検知対象外リスト(ホワイトリスト)へ登録します。
明らかに業務利用と断定出来ない場合は、SOCアナリストからエスカレーションする際にホワイトリスト追加登録の打診を実施します。
打診に基づき、お客様からホワイトリスト追加登録いの依頼をメールでご連絡頂き、登録後にメール返信で連絡させて頂きます。
メール 当社営業日
9時~18時
問い合わせ対応 セキュリティアラート エスカレーションした内容に関する、お客様からのお問い合わせに対して回答します。 メール 24時間
365日
製品仕様
  • ※製品の仕様・不具合に関するお問い合わせは製品サポート窓口にお願いします。

監視対象

Microsoft Defender for Endpointが検知したアラートのSeverity (危険度) が Medium 以上のアラートが対象です。

ただし、SecurityCenter によってブロックやプロセスが停止されたものは脅威を防ぐことができたとして監視の対象外です。

対応方法

  • エスカレーションレベルが3~4のアラートについては3時間以内にメールにて検知の正否をお伝えいたします。

  • 環境に依存する可能性のあるアラートについてはお客様に対して正否などを確認させていただくことがあります。

  • Medium については、時間目標の対象外となり、当社が脅威と判断した場合のみ通知いたします。

監視・エスカレーション運用フロー詳細(レベル3~4アラート時)

本サービスへのお問い合わせ