Share via

Microsoft Defender for Cloud の脅威インテリジェンス レポート。

  • [アーティクル]

Microsoft Defender for Cloud の脅威インテリジェンス レポートは、セキュリティ アラートをトリガーした脅威の詳細を確認する方法について説明します。

脅威インテリジェンス レポートとは

Defender for Cloud の脅威保護は、Azure リソース、ネットワーク、接続されているパートナー ソリューションからのセキュリティ情報を監視することで機能します。 この情報を分析し、ときには複数の情報源から得た情報との関連性を探りながら、脅威を特定します。 詳細については Microsoft Defender for Cloud が脅威を検出して対応する方法を参照してください。

Defender for Cloud によって脅威が識別されると、セキュリティ アラート がトリガーされます。このアラートには、修復の提案など、イベントに関する詳細情報が含されます。 インシデント対応チームが脅威を調査して修復するために、Defender for Cloud は、検出された脅威に関する情報を含む脅威インテリジェンス レポートを提供します。 レポートには次のような情報が含まれます。

  • 攻撃者の ID または所属団体 (この情報が利用可能な場合)
  • 攻撃者の目的
  • 現在および過去の攻撃キャンペーン (この情報が利用可能な場合)
  • 攻撃者の戦術、ツール、手順
  • URL やファイル ハッシュなど、関連する侵害の兆候 (IoC)
  • 被害者情報 (攻撃が発生している業界や地域に関する情報で、Azure リソースにリスクが存在するかどうかの判断に役立ちます)
  • 軽減策と修復方法に関する情報

Note

レポートに記載される情報の量はさまざまであり、どの程度まで詳細な情報が表示されるかは、マルウェアの活動と拡散度に応じて決まります。

Defender for Cloud には、攻撃によって異なる可能性がある 3 種類の脅威レポートがあります。 具体的には、以下のとおりです。

  • 活動グループ レポート: 攻撃者、その目的、戦術に関する詳しい情報を記載したレポートです。
  • キャンペーン レポート: 主に特定の攻撃キャンペーンの詳細を取り扱うレポートです。
  • 脅威概要レポート: 前の 2 つのレポートの全項目を確認できるレポートです。

この種類の情報は、インシデント対応プロセス中に役立ちます。 攻撃元、攻撃者の動機、この問題の影響を将来軽減するための方策を把握するための継続的な調査がある場合など。

脅威インテリジェンス レポートにアクセスする方法

  1. Defender for Cloud のメニューから、セキュリティ アラートページを開きます。

  2. アラートを選択します。

    アラートの詳細ページが開き、アラートの詳細が表示されます。 たとえば、[検出されたランサムウェア インジケーター] アラート詳細ページです。

    [Ransomware indicators detected]\(検出されたランサムウェア インジケーター\) アラート詳細ページ。

  3. レポートへのリンクを選択すると、既定のブラウザーで PDF が開きます。

    [Potentially Unsafe Action]\(安全でない可能性があるアクション\) アラート詳細ページ。

    PDF レポートをダウンロードすることもできます。

    ヒント

    各セキュリティ アラートに関して表示される情報の量は、アラートの種類に応じて変わります。

次のステップ

このページでは、セキュリティ アラートの調査時に脅威インテリジェンス レポートを開く方法について説明しました。 関連情報については、次のページを参照してください。