Microsoft セキュリティ アラートからインシデントを自動的に作成する

  • [アーティクル]

Microsoft Defender for Cloud Apps や Microsoft Defender for Identity など、Microsoft Sentinel に接続されている Microsoft セキュリティ ソリューションでトリガーされたアラートによって、自動的には Microsoft Sentinel にインシデントが作成されません。 既定では、Microsoft ソリューションを Microsoft Sentinel に接続すると、そのサービスで生成されたすべてのアラートは、お使いの Microsoft Sentinel の生データとして Microsoft Sentinel ワークスペースのセキュリティ アラート テーブルに格納されます。 そのデータは、Microsoft Sentinel に取り込む他の生データと同様に使用できます。

この記事の手順に従って、接続されている Microsoft セキュリティ ソリューションでアラートがトリガーされるたびに自動的にインシデントを作成するように Microsoft Sentinel を簡単に構成できます。

前提条件

Microsoft Sentinel のコンテンツ ハブから適切なソリューションをインストールし、データ コネクタを設定して、セキュリティ ソリューションを接続します。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」および「Microsoft Sentinel データ コネクタ」を参照してください。

Microsoft セキュリティ インシデントの作成分析ルールの使用

Microsoft Sentinel で利用できるルール テンプレートを使用して、接続されたどの Microsoft セキュリティ ソリューションで Microsoft Sentinel インシデントを自動的に作成するかを選択します。 また、ルールを編集して、Microsoft セキュリティ ソリューションによって生成されたアラートのうち Microsoft Sentinel にインシデントを作成する必要があるものをフィルター処理する、より具体的なオプションを定義することもできます。 たとえば、重要度の高い Microsoft Defender for Cloud アラートからのみ、Microsoft Sentinel インシデントを自動的に作成することができます。

  1. Azure portal の [Microsoft Sentinel] の下で [Analytics] を選択します。

  2. [ルール テンプレート] タブを選択して、分析ルール テンプレートをすべて表示します。 その他のルール テンプレートを探すには、Microsoft Sentinel のコンテンツ ハブに移動します。

    ルール テンプレート

  3. 使用する Microsoft セキュリティ分析ルールテンプレートを選択し、[ルールの作成] を選択します。

    セキュリティ分析ルール

  4. ルールの詳細を変更して、アラートの重要度またはアラートの名前に含まれるテキストでインシデントを作成するアラートをフィルター処理するように選択できます。

    たとえば、[Microsoft のセキュリティ サービス] フィールドで [Microsoft Defender for Cloud] を選択し、[重要度でフィルター処理] フィールドで [高] を選択した場合、重要度が高いセキュリティ アラートのみ Microsoft Sentinel にインシデントが自動的に作成されます。

    ルールの作成ウィザード

  5. また、 [+ 作成] をクリックし、 [Microsoft incident creation rule](Microsoft インシデント作成ルール) を選択して、別の Microsoft セキュリティ サービスのアラートをフィルター処理する新しい Microsoft セキュリティ ルールを作成することもできます。

    インシデント作成ルール

    Microsoft セキュリティ サービスの種類ごとに、複数の Microsoft セキュリティ分析ルールを作成できます。 これにより、各ルールがフィルターとして使用されるため、重複するインシデントは作成されません。 アラートが複数の Microsoft Security 分析ルールと一致する場合でも、Microsoft Sentinel インシデントは 1 つだけ作成されます。

接続時にインシデント生成を自動的に有効にする

Microsoft セキュリティ ソリューションを接続するときに、セキュリティ ソリューションのアラートによってインシデントが Microsoft Sentinel に自動的に生成されるようにするかどうかを選択できます。

  1. Microsoft セキュリティ ソリューションのデータ ソースを接続します。

    セキュリティ インシデントを生成する

  2. [Create incidents](インシデントの作成)[有効化] を選択して、接続されたセキュリティ サービスで生成されたアラートからインシデントを自動的に作成する既定の分析ルールを有効にします。 次に、 [分析] でこのルールを編集してから、 [Active rules](アクティブなルール) を選択します。

次のステップ