Microsoft Defender for Cloud でセキュリティ インシデントを管理する

セキュリティ アラートのトリアージと調査は、熟練のセキュリティ アナリストでさえ長時間を要することのある作業です。 多くのユーザーにとっては、どこから始めればよいかを判断することも困難です。

Defender for Cloud では、 分析を使用して 、個別のセキュリティ アラート 間で情報 を接続します。 これらの接続を使用すると、Defender for Cloud は攻撃キャンペーンとその関連アラートを 1 つのビューで表示して、攻撃者のアクションと影響を受けるリソースを把握するのに役立ちます。

このページでは、Defender for Cloud でのインシデントの概要について説明します。

セキュリティ インシデントとは

Defender for Cloud では、セキュリティ インシデントは、キル チェーン パターンに合ったリソースのすべてのアラート の 集計です。 インシデントは [セキュリティ アラート] ページの一覧に表示されます。 インシデントを選択すると、関連するアラートと詳細情報が表示されます。

セキュリティ インシデントの管理

1. Defender for Cloud の [セキュリティ アラート] ページで、[フィルターの追加] ボタンを使用して、アラート名でフィルター処理し、アラート名 [複数のリソースで検出されたセキュリティ インシデント] にします。

   

   一覧がフィルター処理され、インシデントのみが表示されるようになりました。 セキュリティ インシデントには、セキュリティ アラートとは異なるアイコンが付いています。

   

2. インシデントの詳細を表示するには、一覧から 1 つを選択します。 サイド ペインに、インシデントの詳細が表示されます。

   

3. 詳細を表示するには、 [すべての詳細を表示] を選択します。

   

   セキュリティ インシデント ページの左側のウィンドウには、セキュリティ インシデントに関する概要情報 (タイトル、重要度、状態、アクティビティ時間、説明、影響を受けるリソース) が表示されます。 影響を受けるリソースの横に、関連する Azure タグが表示されます。 これらのタグを使用して、アラートを調査するときにリソースの組織コンテキストを推測します。

   右側のウィンドウには、このインシデントの一部として関連付けられたセキュリティ アラートを含む [アラート] タブが表示されます。

   ヒント

   具体的なアラートの詳細については、そのアラートを選択してください。

   

   [アクションの実行] タブに切り替えるには、右側のウィンドウの下部にあるタブまたはボタンを選択します。 このタブを使用すると、次のような操作を実行できます。

   • [Mitigate the threat](脅威の軽減) - このセキュリティ インシデントに対する手動の修復手順を提供します
   • [Prevent future attacks](将来の攻撃防止) - セキュリティに関する推奨事項を提供して、攻撃対象を減らし、セキュリティ体制を強化し、将来の攻撃を防ぐことができるようにします
   • [Trigger automated response](自動応答のトリガー) - このセキュリティ インシデントへの応答としてロジック アプリをトリガーするオプションを提供します
   • [Suppress similar alerts](類似のアラートの抑制) - 組織に関連しないアラートの場合、同様の特性を持つ今後のアラートを抑制するオプションを提供します

   注意

   同じアラートが 1 つのインシデントに含まれることもあれば、スタンドアロン アラートとして表示されることもあります。

4. インシデントの脅威を修復するには、各アラートに対する修復手順に従います。

次のステップ

このページでは、Defender for Cloud のセキュリティ インシデント機能について説明しました。 関連情報については、次のページを参照してください。

• Defender for Cloud のセキュリティ アラート
• セキュリティ アラートの管理と対応