Microsoft Defender 脅威インテリジェンスについて説明する

  • 5 分

脅威インテリジェンス アナリストは、脅威インテリジェンスの幅広い取り込みの分析と、どの脅威インテリジェンスが組織や業界にとって最大の脅威となるかの分析とのバランスに苦慮しています。 同様に、脆弱性インテリジェンス アナリストは、資産インベントリと共通脆弱性識別子 (CVE) 情報を関連付け、組織に関連する最も重要な脆弱性の調査と修復を優先順位付けるために取り組んでいます。

Microsoft Defender 脅威インテリジェンスは、重要なデータ ソースを集約して充実させ、革新的で使いやすいインターフェイスで表示することで、これらの課題に対処します。 その後、アナリストは、侵害の指標 (IOC) を関連記事、行為者のプロファイル、および脆弱性と関連付けることができます。 Defender TI は、アナリストがテナント内の Defender TI のライセンスを付与されたユーザーと共同で調査を行うこともできます。

Microsoft Defender 脅威インテリジェンスの機能には、次のようなものがあります。

  • 脅威の分析
  • Intel プロファイル
  • Intel エクスプローラー
  • プロジェクト

脅威の分析

脅威の分析は、アナリストとして、新たな脅威が組織の環境に与える影響を理解するのに役立ちます。

脅威分析レポートでは、追跡対象の脅威の分析と、その脅威に対する防御方法に関する広範なガイダンスが提供されます。 また、ネットワークからのデータも組み込まれており、脅威がアクティブかどうかと、適切な保護が適用されているかどうかを示します。 レポートをフィルター処理して検索することもできますが、Defender TI ではダッシュボードも提供されます。

脅威分析ダッシュボードでは、組織に最も関連性の高いレポートが強調表示されます。 脅威は、次の 3 つのカテゴリにまとめられます。

  • 最新の脅威 - 公開または更新された最新の脅威レポートと、アクティブなアラートと解決されたアラートの数の一覧が表示されます。
  • 影響の大きい脅威 - 組織に最大の影響を与えた脅威の一覧が表示されます。 このセクションでは、最初にアクティブなアラートと解決済みアラートの数が最も多い脅威の一覧を示します。
  • 最も高い露出 - 組織の露出が最も高い脅威から順に一覧表示されます。 脅威の露出レベルは、脅威に関連する脆弱性の深刻度と、これらの脆弱性によって悪用される可能性がある組織内のデバイスの数の、2 つの情報を使って計算されます。

各レポートでは、概要、アナリスト レポート、関連するインシデント、影響を受けた資産、エンドポイントの露出、推奨されるアクションが提供されます。

Intel プロファイル

Intel プロファイルは、追跡された脅威行為者、悪意のあるツール、および脆弱性に関する Microsoft の共有可能な知識の決定的なソースです。 このコンテンツは、Microsoft の脅威インテリジェンス エキスパートによって調整され、継続的に更新されています。

Intel エクスプローラー

Intel エクスプローラーは、アナリストが新しい特集記事を素早くスキャンし、キーワード、インジケーター、または CVE ID 検索を実行して、情報収集、トリアージ、インシデント対応、およびハンティングの作業を開始できる場所です。

Microsoft Defender 脅威インテリジェンスの記事は、脅威アクター、ツール、攻撃、脆弱性に関する分析情報を提供する説明です。 この記事は、さまざまな脅威を要約し、ユーザーが行動を起こすのに役立つアクションにつながるコンテンツや主要な IOC にもリンクしています。

Defender TI には、CVE に関する重要な情報をユーザーが特定するのに役立つ CVE-ID 検索が用意されています。 CVE-ID 検索によって、脆弱性に関する記事が表示されます。

Intel プロジェクト

Microsoft Defender 脅威インテリジェンス (Defender TI) では、プロジェクトを作成し、調査から得られた関心インジケーターや侵害インジケーター (IOC) を整理できます。 プロジェクトには、関連するすべての成果物の一覧に加え、名前、説明、コラボレーター、監視プロファイルを保持する詳細な履歴が含まれています。

Microsoft Defender ポータルでの Microsoft Defender 脅威インテリジェンス

Microsoft Defender TI は、Microsoft Defender ポータルを通じて体験できます。

Microsoft Defender ポータルのナビゲーション パネルにある脅威インテリジェンス ノードには、Microsoft Defender 脅威インテリジェンス機能があります。

Microsoft Defender ポータルの左側のナビゲーション パネルにある脅威インテリジェンスの選択可能なオプションのスクリーンショット。

各カテゴリの画面キャプチャを表示するには、次の画像からタブを選択します。 いずれの場合も、埋め込みの Microsoft Security Copilot 機能を表示するサイド パネルがあります。

Microsoft Security Copilot と Microsoft Threat Intelligence の統合

Security Copilot は Microsoft Defender TI と統合します。 Defender TI プラグインを有効にすると、Copilot により、脅威アクティビティ グループ、侵害インジケーター (IOC)、ツール、コンテキスト上の脅威インテリジェンスに関する情報が提供されます。 プロンプトとプロンプトブックを使用して、インシデントを調査したり、脅威インテリジェンス情報を使用してハンティング フローを強化したり、組織やグローバルな脅威の状況に関してさらに多くの知識を得たりできます。

Copilot での Microsoft Defender 脅威インテリジェンスの機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。 次の図に示すのはサポートされている機能のサブセットに過ぎません。

スタンドアロン エクスペリエンスで実行できる Defender TI システムの機能の画面キャプチャ。

Copilot には、以下のような Defender TI から情報を提供する組み込みのプロンプトブックも含まれています。

  • 脆弱性の影響評価 - 既知の脆弱性のインテリジェンスを要約したレポートを生成します。これには、それに対処する手順が含まれます。
  • 脅威アクター プロファイル - 既知のアクティビティ グループをプロファイリングするレポートを生成します。これには、一般的なツールや戦術から防御するための提案が含まれます。

また、埋め込みエクスペリエンスを通じて Copilot と Defender TI の統合を利用できます。 Microsoft Defender ポータルの次のページで、脅威インテリジェンス検索する Security Copilot の機能を体験できます。

  • 脅威の分析
  • Intel プロファイル
  • Intel エクスプローラー
  • Intel プロジェクト

これらの各ページでは、利用可能なプロンプトのいずれかを使用するか、独自のプロンプトを入力できます。

Microsoft Defender ポータルの Defender TI に埋め込まれた Copilot プロンプトの画面キャプチャ。