top of page
検索

「日次10分/週次30分/月次60分」のアジェンダ・役割・手順・KPI定義・ダッシュボード項目・クエリ雛形・台帳フォーマット・自動リマインド仕様

  • 山崎行政書士事務所
  • 9月13日
  • 読了時間: 8分


ree

0. 前提(必読・セットアップ)

  • 対象:Microsoft Defender for Endpoint (MDE P2)・Intune・(任意)Microsoft 365 Defender/Microsoft Sentinel

  • データ源

    • MDE Advanced Hunting(例:DeviceInfo, DeviceEvents, AlertInfo, InvestigationInfo など)

    • (任意)Sentinel/Log Analytics(SecurityIncident, SecurityAlert 等)

    • 例外台帳(後述のCSV/SharePoint/Dataverse いずれか)

  • 用語の扱い

    • 「ASR失敗イベント」=本来Blockすべきルールが Block されずに記録された事象(例:Auditや未適用で許可された)

    • 「未調査アラート」=24時間以内に担当アサイン/初動クローズに至っていないアラート

  • 役割(RACI)

    • 実行(R):SOC/情シス(一次対応)

    • 承認(A):CISO/情報セキュリティ責任者

    • 協力(C):インフラ運用、開発代表、法務・広報(必要時)

    • 報告(I):経営層、内部監査、委託先窓口

1. 日次 10分 テンプレ(毎営業日)

1-1 アジェンダ(10分固定)

  1. Tamper=100% 確認(2分)

  2. 未調査アラート(過去24h)= 0 の確認(3分)

  3. ASR失敗イベント Top5(過去24h)(3分)

  4. AIR 自動修復サマリ(過去24h)(2分)

閾値違反が1つでも発生したら、当日中に是正計画(担当者・期限)をチケット化。

1-2 ダッシュボード項目(1ページ)

  • Tamper Coverage:100%(分母=管理対象端末)

  • Uninvestigated Alerts (24h):0(Status=新規/進行中 かつ 担当者空欄 をカウント)

  • ASR未ブロック Top5:ActionType × count(監査/Audit/Allowedの上位5件)

  • AIR 24h:総調査数 / 成功 / 失敗 / 保留、成功率(%)

1-3 KPI定義(算式)

  • Tamper Coverage(%) = Tamper=ON 端末数 / 管理対象端末数 ×100

  • 未調査アラート(件) = 過去24hのアラートのうち、担当者未設定 or 未クローズ

  • ASR未ブロック件数 = ASR “Audited/Allowed” 事象の件数

  • AIR成功率(%) = Remediated/Completed / 総自動調査 ×100

1-4 クエリ雛形(MDE Advanced Hunting 用・調整して活用)

注:環境により列名が異なる場合があります。coalesce() 等で吸収してください。

(A) Tamper=100%(端末別・全体)

DeviceInfo
| summarize total = count(),
            tamper_on = countif(coalesce(IsTamperProtected, IsTamperProtectionEnabled) == true),
            tamper_off = countif(coalesce(IsTamperProtected, IsTamperProtectionEnabled) == false)
| extend coverage_pct = 100.0 * todouble(tamper_on) / todouble(total)

(B) 未調査アラート(24h)

let lb = 24h;
AlertInfo
| where Timestamp >= ago(lb)
| project AlertId, Timestamp, Title, Severity,
          Status = tolower(Status), AssignedTo
| extend uninvestigated = iif(Status in ("new","in progress","active")
                              and isempty(AssignedTo), 1, 0)
| summarize 未調査 = sum(uninvestigated)

(C) ASR失敗イベント Top5(24h)(“Blocked”でなく “Audited/Allowed” を未ブロックとして集計)

let lb = 24h;
DeviceEvents
| where Timestamp >= ago(lb)
| where ActionType startswith "Asr" // 例:"AsrOfficeChildProcessAudited" 等
| extend is_failed = iif(ActionType contains "Audit" or ActionType contains "Allowed", 1, 0)
| where is_failed == 1
| summarize count() by ActionType
| top 5 by count_ desc

(D) AIR サマリ(24h)

let lb = 24h;
InvestigationInfo
| where Timestamp >= ago(lb)
| summarize total = dcount(InvestigationId),
            completed = countif(tolower(Status) in ("completed","succeeded")),
            remediated = countif(tolower(RemediationStatus) in ("remediated","partiallyremediated")),
            failed = countif(tolower(Status) in ("failed","canceled")),
            pending = total - (completed + failed)
| extend success_rate_pct = 100.0 * todouble(remediated) / todouble(total)

2. 週次 30分 テンプレ(毎週同曜日)

2-1 アジェンダ(30分)

  1. ASR Block率(7日):全体・ルール別の到達度(10分)

  2. EDR Block 適用率(7日):採用状況と未適用セグメント(5分)

  3. 例外台帳の健全性(7日)期限7日前の案件に自動リマインド(10分)

    • 新規・延長・失効の件数、負債推移(チャート)

2-2 ダッシュボード項目

  • ASR Block率(全体)ルール別 Block率(%)Audit残件

  • EDR Block 適用率(%)未適用端末リスト(OU/タグ別)

  • 例外台帳7日以内失効失効超過総件数(推移)

2-3 KPI定義(算式)

  • ASR Block率(%) = ASR Block 事象数 / (ASR Block + ASR Audited) ×100

  • EDR Block 適用率(%) = EDR Block ON 端末 / 管理対象端末 ×100

  • 例外期限切れ(件) = 当週に期限を超過した例外の件数(0 目標)

2-4 クエリ雛形

(A) ASR Block率(7日・ルール別)

let lb = 7d;
DeviceEvents
| where Timestamp >= ago(lb)
| where ActionType startswith "Asr"
| summarize blocks  = countif(ActionType contains "Blocked"),
            audited = countif(ActionType contains "Audit" or ActionType contains "Allowed")
            by Rule = ActionType
| extend block_rate_pct = 100.0 * todouble(blocks) / todouble(blocks + audited)
| order by block_rate_pct asc

(B) EDR in block mode 適用率(端末)(IsEdrInBlockModeEnabled 相当の列があれば利用。なければ Intune/台帳連携でカバー)

DeviceInfo
| summarize total = count(),
            edr_on  = countif(coalesce(IsEdrInBlockModeEnabled, IsEdrBlockMode) == true),
            edr_off = countif(coalesce(IsEdrInBlockModeEnabled, IsEdrBlockMode) == false)
| extend adoption_pct = 100.0 * todouble(edr_on) / todouble(total)

(C) 例外台帳(期限7日前リマインド)

例外台帳はCSV/SharePoint/Dataverse等で管理。Log Analytics 取り込み(例:SecurityExceptions_CL)を推奨。

例外台帳 CSV 推奨列(最小)ExceptionId, PolicyArea(ASR/EDR/AV/NP), RuleName/RuleId, Scope(DeviceGroup/DeviceId), Reason, RequesterUPN, ApproverUPN, StartDate, ExpiryDate, Status(Active/Expired), TicketId

LA 取り込み後の KQL(7日以内失効)

SecurityExceptions_CL
| where Status_s == "Active"
| extend Expiry = todatetime(ExpiryDate_t)
| where Expiry between (now() .. now() + 7d)
| project ExceptionId_s, PolicyArea_s, RuleName_s, Scope_s, RequesterUPN_s,
         ApproverUPN_s, Expiry
| order by Expiry asc

自動リマインド仕様(テンプレ)

  • トリガ:毎日 09:00 / ロジックアプリ or Power Automate

  • 対象:上記クエリ結果

  • 通知先:RequesterUPN と ApproverUPN(CC:セキュリティ窓口)

  • 件名:[ASR例外] 期限7日以内:{RuleName} / {Scope}

  • 本文:概要(理由・期間)/延長or終了の選択肢/ボタン(承認フローへ)

  • ルール:延長は1回限り再延長はCISO承認

3. 月次 60分 テンプレ(役員・監査同席可)

3-1 アジェンダ(60分)

  1. 結果KPIレビュー(20分)

    • 既知悪性URLクリック率 ≤ 0.5%/月(MDO連携時)

    • 横展開封じ込め中央値 ≤ 15分

    • 未調査アラート24h=0継続率、AIR成功率、Tamper/EDR/ASRカバレッジ

  2. 原因・対策(15分)

    • ASR未ブロックの恒常上位・誤検知/互換影響の切り分け

    • EDR Block未適用セグメントの解消計画

  3. 例外負債の棚卸し(10分)

    • 例外総量/期限切れ/延長率、削減OKR 進捗

  4. 監査パック “10分提示” 演習(15分)

    • エビデンスの10分提示デモ(下記パッケージ構成)

3-2 結果KPI(算式例)

  • 横展開封じ込め 中央値(分)= 初回高深刻度アラート時刻 → 端末隔離(またはKill/修復完了)までの経過分の中央値(クエリ例:AlertInfo と DeviceEvents/DeviceActions の Isolate/Kill イベントを端末/インシデントで紐付け、差分分を算出)

  • 既知悪性URLクリック率(%)= 当月クリック件数(ブロック含む) / 全ユーザ×月 ×100(メール/Web のいずれでも可)

3-3 監査パック構成(毎月更新・ZIP)

/AuditPack_YYYYMM/
  /Configs
    MDE_Policies.json
    Intune_EndpointSecurity_ASR.json
    EDR_Block_Status.csv
    Tamper_Coverage.csv
  /Evidence
    AIR_Investigations_YYYYMM.csv
    Alerts_YYYYMM.csv
    Isolations_YYYYMM.csv
  /Exceptions
    Exceptions_Ledger.csv
    Expiring_In_30Days.csv
  /KPI
    Daily_Scorecards.xlsx
    Weekly_Scorecards.xlsx
    Monthly_KPI.pdf
  /Runbooks
    RB-ASR-Exception-Process_vX.Y.pdf
    RB-EDR-Block-Enablement_vX.Y.pdf
    RB-AIR-Levels_vX.Y.pdf

“10分提示”デモ台本(雛形)1分:KPIサマリ → 2分:Tamper/EDR/ASR カバレッジ → 3分:AIR 成功率+代表ログ→ 2分:例外台帳(期限管理) → 2分:インシデント1件のエビデンス・チェーン提示

4. 運用成果物テンプレ(配布用)

4-1 日次スコアカード(1ページ/自動生成推奨)

指標

目標

判定

備考

Tamper Coverage

100%

100%

✅/❌

未達は端末一覧を添付

未調査アラート(24h)

0件

0件

✅/❌

アラートIDリスト

ASR未ブロック Top5

(…)

ルール別件数

AIR成功率

85%〜

≥85%

✅/❌

失敗はチケット番号

4-2 週次レポート(3~5ページ)

  • 1枚目:ASR Block率(全体・ルール別)/EDR Block 適用率

  • 2枚目:未適用OU/セグメントの是正計画と期限

  • 3枚目:例外ダッシュボード(7日以内失効/失効超過)+アクション一覧

  • 付録:端末リスト・例外一覧(CSV)

4-3 月次KPI(役員向け 6~8枚)

  • 事業影響の指標(横展開封じ込め・既知悪性クリック率・復旧時間)

  • 統制の指標(Tamper/EDR/ASR Coverage、未調査ゼロ継続率、AIR成功率)

  • コスト指標(アラート総量・自動修復による人時削減の見積り)

  • 次月の重点(ASR例外削減・EDR未適用セグメント撲滅 等)

5. 例外台帳テンプレ(コピーして運用開始)

CSVヘッダ(推奨)

ExceptionId,PolicyArea,RuleName,RuleId,ScopeType,ScopeValue,Reason,RequesterUPN,ApproverUPN,StartDate,ExpiryDate,Status,TicketId,AutoExpire

レコード例

EX-2025-0001,ASR,Office child process,{GUID},DeviceGroup,Finance-Laptops,"Legacy macro tool",user1@contoso.com,ciso@contoso.com,2025-09-01,2025-10-01,Active,SEC-12345,true

運用ルール

  • 30日自動失効、延長は1回限り、再延長はCISO承認

  • 週次で7日前リマインド、期限超過は当日中に閉止または承認再延長

  • 月次で例外総量・延長率・期限切れをKPI化

6. 手順書(SOP)ひな形

6-1 日次(オペレータ視点)

  1. ダッシュボードを開く → タイル4点を確認

  2. いずれか未達ならJira/ServiceNowへ「是正タスク」を登録

  3. ASR未ブロック Top5のうち、反復するルールは影響確認(LOB列挙)

  4. AIR失敗は端末隔離/再実行の判断をRunbookに沿って実施

  5. 結果を日次スコアカードへ自動反映

6-2 週次(チームリード)

  1. ASR Block率が低いルールを特定 → Audit→Warn→Block の移行計画を更新

  2. EDR Block 未適用のOU/セグメントの是正担当・期限を明記

  3. 例外7日前のリストをレビュー → 不要な延長の抑止、承認者へ通知

  4. 週次レポートを配布(配布先:CISO/運用/開発代表/監査)

6-3 月次(CISO/監査同席)

  1. 結果KPI/統制KPIをレビュー(未達指標は是正計画に紐付け

  2. 監査パック10分提示演習(録画推奨)

  3. 翌月のOKRを設定(例:ASR例外20%削減、EDR Block 100%化)

  4. 会議メモと決定事項をナレッジへ反映

7. 自動化スニペット(設計指針)

  • ダッシュボード生成:Advanced Hunting → Power Automate → Teams/メール配信(PDF/PNG化)

  • 例外リマインド:Log Analytics クエリ → Logic Apps → 承認フロー(承認/却下で台帳更新)

  • 端末隔離自動化(高深刻度):アラートトリガー → 条件(高/特定カテゴリ) → 自動隔離 → 初報ドラフト作成 → 法務レビューへルーティング

8. 品質基準(SLO/エスカレーション)

  • 日次:Tamper=100% / 未調査=0 達成率 100%(未達は即日是正)

  • 週次:ASR Block率(重点ルール)≥95%、EDR Block 適用率 100%

  • 月次:AIR成功率 ≥85%、横展開封じ込め中央値 ≤15分

  • エスカレーション:SLO未達が3日連続または重大アラート未調査 > 0即時CISO報告

9. 付録:Sentinel/Log Analytics 併用時の代替クエリ例

(参考) 未調査アラート(24h)

SecurityIncident
| where TimeGenerated >= ago(24h)
| project IncidentNumber, Title, Severity, Status = tostring(Status), Owner
| extend uninvestigated = iif(tolower(Status) !in ("closed","resolved") and isempty(Owner), 1, 0)
| summarize 未調査 = sum(uninvestigated)

(参考) 横展開封じ込め時間(中央値)

let lb = 30d;
let isolate = SecurityEvent | where TimeGenerated >= ago(lb) and EventID in ( /* 隔離相当のカスタム/アクションイベント */ );
let alerts  = SecurityAlert | where TimeGenerated >= ago(lb) and Severity in ("High","Medium");
alerts
| join kind=innerunique isolate on $left.Computer == $right.Computer
| extend mins_to_contain = datetime_diff('minute', isolate.TimeGenerated, alerts.TimeGenerated)
| summarize percentile(mins_to_contain, 50)
具体的なイベント名・スキーマは環境に合わせて差し替えてください。

まとめ

  • 日次10分Tamper=100%未調査=0ASR未ブロックTop5AIRサマリ

  • 週次30分ASR Block率EDR Block適用率例外7日前リマインド

  • 月次60分結果KPIレビュー例外棚卸監査パック10分提示演習

 
 
 

コメント

bottom of page