tos-akibaのブログ

主に Microsoft 365 Security について

Microsoft 365 Defender アラートチューニングの設定画面

昨日投稿しました Microsoft 365 Defender のアラートチューニングの設定画面を見てみました。
Microsoft 365 Defender アラートチューニング(プレビュー) - tos-akibaのブログ

 

パブリックプレビュー中なので、本記載時点の画面です。
まず、Microsoft 365 Defender のセキュリティポータル画面で、メニュー左下の「設定」から「Microsoft 365 Defender」を選択し、「ルール」の「アラートチューニング」を開きます。

 

「新しいルールの追加」をクリックすると設定が表示されます。

 

「サービス ソースの選択」のプルダウンから Microsoft 365 Defender のサービスソース対象を選択します。
”ADD ID 保護” というのは、たぶん Azure AD Identity Protection のことではないかと思います。

 

次に IOCS セクションでアラートをトリガーするインジケーターの条件を設定します。
IOC とは、Indicators of Compromise(侵害インジケーター)です。

 

条件には、ファイルや IP、URL、プロセス、アカウント、など多数のエビデンスタイプをカスタム設定でき、複数の条件を組み合わせることも出来ます。

 

「処置」セクションでは、アラート非表示/アラート解決 の選択がありますが、選択したサービスソースにより、選択肢が限定される場合があります。

 

「名前」と「説明」を入力して保存します。

 

なお、アラートの詳細からチューニング設定する場合は、アラートの詳細を開き、メニューから「アラートの調整」を選択します。

 

アラートから開いた場合は、「このアラートの種類のみ」を選択設定することができます。