1. 全体概要と結論
Microsoft Defender for Endpointを利用したWindows 10および11に関するアラートの自動修復に関する問題を調査した。主な課題は以下の2点である。
関連サービス
- Microsoft Defender for Endpoint
- Windows 10
- Windows 11
主要な課題
- カスタム検出ルールで作成したアラートが自動修復されない問題
- 自然発生的なアラートのリスクレベル「中」における自動修復の挙動が不明
結論
- カスタム検出ルールで作成されたアラートは自動修復されず、手動で確認が必要である。
- 自然発生的なアラートについては、自動調査が成功し、すべての悪意のあるアーティファクトが修復された場合に自動修復機能が動作する。
2. 調査内容
2.1. カスタム検出ルールで作成したアラートが自動修復されない問題
調査の目的
カスタム検出ルールで作成したアラートが自動修復されない理由を明確にすることを目的とした。
発生している疑問・懸念
- カスタム検出ルールで作成したアラート6件が自動修復されず、状態が「Remediated」とならない。
関連環境
- Microsoft Defender for Endpoint
- Windows 10, Windows 11
調査結果
カスタム検出ルールで作成されたアラートは、独自に作成されたものであるため、自動修復機能の対象外であることが判明した。これらのアラートは手動で確認する必要がある。
【技術解説】
カスタム検出ルールはユーザーが独自に作成したものであり、Microsoft Defender for Endpointの自動修復機能は自然発生的なアラートにのみ対応する設計である。
推奨される対応策
- カスタム検出ルールで作成されたアラートについては、手動で確認し、必要に応じて修復を行う。
- 自動修復機能の対象外であることを前提に運用を見直す。
2.2. 自然発生的なアラートのリスクレベル「中」における自動修復の挙動
調査の目的
自然発生的なアラートについて、リスクレベルが「中」であっても自動修復されるかどうかを確認することを目的とした。
発生している疑問・懸念
- 自然発生的なアラートのリスクレベル「中」において、自動修復の挙動が不明。
関連環境
- Microsoft Defender for Endpoint
- Windows 10, Windows 11
調査結果
自然発生的なアラートについては、自動調査が成功し、すべての悪意のあるアーティファクトが修復された場合に自動修復機能が動作することが判明した。ただし、条件が満たされない場合は手動での確認が必要である。
【技術解説】
自然発生的なアラートはMicrosoft Defender for Endpointの自動修復機能の対象である。ただし、自動調査が成功し、すべての悪意のあるアーティファクトが修復される必要がある。この条件が満たされない場合、手動での対応が必要となる。
推奨される対応策
- 自然発生的なアラートについては、自動調査の結果を確認する。
- 必要に応じて手動で修復を行う。
- 自動修復機能の動作条件を理解し、設定を維持する。
コメント