Microsoft Defender for Cloud でセキュリティ アラートの管理と対応を行う

このトピックでは、Defender for Cloud のアラートを表示および処理し、リソースを保護する方法について説明します。

セキュリティ アラートをトリガーする高度な検出は、Microsoft Defender for Cloud の拡張セキュリティ機能が有効になっている場合のみ使用できます。 無料試用版が提供されています。 アップグレードするには、「強化された保護を有効にする」をご覧ください。

セキュリティの警告とは何か

Defender for Cloud は、Azure のリソース、ネットワーク、接続されているパートナー ソリューション (ファイアウォール、エンドポイント エージェントなど) からログ データを収集し、それらを分析、統合します。 Defender for Cloud は、ログ データを使用して実際の脅威を検出し、誤検出を削減します。 Defender for Cloud には、優先順位の付いたセキュリティ アラートの一覧が、問題を迅速に調査するために必要な情報、および攻撃を修復するために実行する手順と共に表示されます。

さまざまな種類のアラートについては、「セキュリティ アラート - リファレンス ガイド」をご覧ください。

Defender for Cloud でアラートが生成されるしくみの概要については、Microsoft Defender for Cloud での脅威の検出と対応方法に関する記事を参照してください。

セキュリティ アラートの管理

  1. Microsoft Defender for Cloud の概要ページの上部にある [セキュリティ アラート] タイルまたはサイドバーのリンクを選択します。

    Microsoft Defender for Cloud の概要ページからセキュリティ アラートのページに移動する

    [セキュリティ アラート] ページが開きます。

    Microsoft Defender for Cloud のセキュリティ アラート一覧

  2. アラートの一覧をフィルター処理するには、関連するフィルターを選択します。 必要に応じて、 [フィルターの追加] オプションを使用して、さらにフィルターを追加することもできます。

    アラート ビューへのフィルターの追加。

    この一覧は、選択したフィルター オプションに応じて更新されます。 たとえば、システム内の潜在的な違反を調査するために、過去 24 時間以内に発生したセキュリティの警告を確認することができます。

セキュリティの警告への対応

  1. [セキュリティ アラート] リストから、アラートを選択します。 作業ウィンドウが開き、アラートとその影響を受けたすべてのリソースの説明が表示されます。

    セキュリティ アラートのミニ詳細ビュー。

    ヒント

    この作業ウィンドウを開いた状態で、キーボードの上矢印と下矢印を使用して、アラートの一覧をすばやく確認できます。

  2. 詳細については、 [すべての詳細を表示] を選択します。

    セキュリティ アラート ページの左側のウィンドウには、セキュリティ アラートに関する概要情報 (タイトル、重要度、状態、アクティビティ時間、疑わしいアクティビティの説明、影響を受けるリソース) が表示されます。 影響を受けるリソースの Azure タグは、リソースの組織コンテキストを理解するのに役立ちます。

    右側のペインには、問題の調査に役立つアラートの詳細が含まれている [アラートの詳細] タブがあります。IP アドレス、ファイル、プロセスなど。

    セキュリティ アラートに対処する方法の推奨事項。

    また、右側のペインには [アクションの実行] タブがあります。このタブを使用して、セキュリティ アラートに関するその他のアクションを実行します。 次のようなアクションがあります。

    • [リソース コンテキストの検査] - セキュリティ アラートをサポートするリソースのアクティビティ ログに移動します
    • [Mitigate the threat](脅威の軽減) - このセキュリティ アラートに対する手動の修復手順を提供します
    • [Prevent future attacks](将来の攻撃防止) - セキュリティに関する推奨事項を提供して、攻撃対象を減らし、セキュリティ体制を強化し、将来の攻撃を防ぐことができるようにします
    • [Trigger automated response](自動応答のトリガー) - このセキュリティ アラートへの応答としてロジック アプリをトリガーするオプションを提供します
    • [Suppress similar alerts](類似のアラートの抑制) - 組織に関連しないアラートの場合、同様の特性を持つ今後のアラートを抑制するオプションを提供します

    [アクションの実行] タブ。

複数のセキュリティ アラートの状態を一度に変更する

アラートの一覧には、一度に複数のアラートを処理できるように、チェックボックスが表示されます。 たとえば、トリアージのために、特定のリソースのすべての情報案内アラートを破棄できます。

  1. 一括処理するアラートを表示するようにフィルター処理します。

    この例では、リソース 'ASC-AKS-CLOUD-TALK' の重要度が「情報」であるすべてのアラートを選択しています。

    アラートのフィルター処理のスクリーンショット。これにより、関連するアラートが表示されます。

  2. チェックボックスを使用して、処理するアラートを選択します。または、一覧の上部にあるチェックボックスを使用して、すべてを選択します。

    この例では、すべてのアラートを選択しています。 [状態の変更] ボタンが使用可能になったことがわかります。

    一括処理するすべてのアラートを選択するスクリーンショット。

  3. [状態の変更] オプションを使用して、目的の状態を設定します。

現在のページに表示されているアラートの状態が、選択した値に変わります。

関連項目

このドキュメントでは、セキュリティ アラートを表示する方法について説明しました。 関連資料については、次のページを参照してください。