Microsoft Defender XDRでアラートを調査する

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

注:

この記事では、Microsoft Defender XDRのセキュリティ アラートについて説明します。 ただし、ユーザーが Microsoft 365 で特定のアクティビティを実行するときに、アクティビティ アラートを使用して、自分または他の管理者に電子メール通知を送信できます。 詳細については、「Create アクティビティ アラート - Microsoft Purview |Microsoft Docs

アラートは、すべてのインシデントの起点であり、環境内での悪意のあるイベントまたは疑わしいイベントの発生を示します。 多くの場合、アラートは広範な攻撃の一部であり、インシデントに関する手掛かりを提供します。

Microsoft Defender XDRでは、関連するアラートがまとめて集計され、インシデントが形成されます。 インシデントは常に攻撃のより広範なコンテキストを提供しますが、より詳細な分析が必要な場合は、アラートの分析が重要になる可能性があります。

[アラート] キューには、現在のアラート のセットが表示されます。 Microsoft Defender ポータルのクイック 起動で、[インシデント] & アラートアラートからアラート > キューにアクセスします

Microsoft Defender ポータルの [アラート] セクション

Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender XDRなど、さまざまな Microsoft セキュリティ ソリューションからのアラートがここに表示されます。

既定では、Microsoft Defender ポータルのアラート キューには、過去 30 日間の新しい進行中のアラートが表示されます。 最新のアラートは一覧の一番上に表示されるため、最初に目に入ります。

既定のアラート キューから[ フィルター] を選択すると、[ フィルター] ウィンドウが表示され、そこからアラートのサブセットを指定できます。 次に例を示します。

Microsoft Defender ポータルの [フィルター] セクション。

アラートは、以下の条件についてフィルター処理できます。

  • 重要度
  • 状態
  • サービス ソース
  • エンティティ (影響を受けたアセット)
  • 自動調査の状態

Defender for Office 365アラートに必要なロール

アラートにアクセスするには、次のいずれかのロールMicrosoft Defender for Office 365必要があります。

  • Microsoft Entraグローバル ロールの場合:

    • グローバル管理者
    • セキュリティ管理者
    • セキュリティ オペレーター
    • グローバル閲覧者
    • セキュリティ閲覧者

  • セキュリティ & コンプライアンスロールグループのOffice 365

    • コンプライアンス管理者
    • 組織の管理

  • カスタム ロール

アラートを分析する

アラートのメイン ページを表示するには、アラートの名前を選択します。 次に例を示します。

Microsoft Defender ポータルでのアラートの詳細を示すスクリーンショット

[アラートの管理] ウィンドウから [メインアラート ページを開く] アクションを選択することもできます。

アラート ページは、次のセクションで構成されています。

  • アラート ストーリー。これは、このアラートに関連するイベントとアラートのチェーンを時系列で示します
  • 概要の詳細

アラート ページ全体で、任意のエンティティの横にある省略記号 (...) を選択して、アラートを別のインシデントにリンクするなど、使用可能なアクションを表示できます。 使用可能なアクションの一覧は、アラートの種類によって異なります。

アラート ソース

Microsoft Defender XDRアラートは、Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps、Microsoft Defender for Cloud Apps用アプリ ガバナンス アドオン、Microsoft Entra ID 保護、および Microsoft データ損失防止。 アラートの先頭に文字が追加されたアラートが表示される場合があります。 次の表は、アラートの先頭に追加された文字に基づくアラート ソースのマッピングを理解するのに役立つガイダンスです。

注:

  • 先頭に追加される GUID は、統合アラート キュー、統合アラート ページ、統合調査、統合インシデントなど、統合エクスペリエンスにのみ固有のものです。
  • 前に付加された文字は、アラートの GUID を変更しません。 GUID に対する唯一の変更は、先頭に追加されるコンポーネントです。
アラート ソース 先頭に追加された文字
Microsoft Defender XDR ra
ta ThreatExperts の場合
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender for Office 365 fa{GUID}
例: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Endpoint カスタム検出アラートの da または ed
Microsoft Defender for Identity aa{GUID}
例: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
例: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID 保護 ad
アプリ ガバナンス ma
Microsoft データ損失防止 dl

IP アラート サービスMicrosoft Entra構成する

  1. Microsoft Defender ポータル (security.microsoft.com) に移動、[設定]> を選択Microsoft Defender XDR

  2. 一覧から [アラート サービスの設定] を選択し、Microsoft Entra ID 保護アラート サービスを構成します。

    Microsoft Defender ポータルのMicrosoft Entra ID 保護アラート設定のスクリーンショット。

既定では、セキュリティ オペレーション センターに最も関連するアラートのみが有効になります。 すべての ip リスク検出Microsoft Entra取得する場合は、[アラート サービスの設定] セクションで変更できます。

アラート サービスの設定には、Microsoft Defender ポータルの [インシデント] ページから直接アクセスすることもできます。

重要

一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

影響を受けたアセットを分析する

[アクション] セクションには、このアラートの影響を受けたメールボックス、デバイス、ユーザーなど、影響を受けたアセットの一覧があります。

[アクション センターで表示] を選択して、Microsoft Defender ポータルのアクション センターの [履歴] タブを表示することもできます。

アラート ストーリーでアラートの役割をたどる

アラート ストーリーには、アラートに関連するすべてのアセットまたはエンティティがプロセス ツリー ビューで表示されます。 タイトルのアラートは、選択したアラートのページに最初に移動したときにフォーカスされるアラートです。 アラート ストーリー内の資産は、展開およびクリック可能です。 そこでは追加情報が提供されるとともに、アラート ページのコンテキスト内から直接アクションを行うことができるため、対応を迅速化します。

注:

アラート ストーリー セクションには複数のアラートが含まれている場合があり、同じ実行ツリーに関連する追加のアラートは、選択したアラートの前後に表示されます。

詳細ページでアラートの詳細情報を表示する

[詳細] ページには、選択したアラートの詳細と、それに関連する詳細とアクションが表示されます。 アラート ストーリーで影響を受けたアセットまたはエンティティのいずれかを選択すると、詳細ページが変更され、選択したオブジェクトのコンテキスト情報とアクションが提供されます。

関心のあるエンティティを選択すると、詳細ページが変更され、選択したエンティティの種類に関する情報、使用可能な場合の履歴情報、アラート ページから直接このエンティティに対してアクションを実行するためのオプションが表示されます。

アラートの管理

アラートを管理するには、アラート ページの概要の詳細セクションで [アラートの管理] を選択します。 アラートが 1 つの場合の [アラートの管理] ウィンドウの例を下に示します。

Microsoft Defender ポータルの [アラートの管理] セクションのスクリーンショット

[ アラートの管理 ] ウィンドウでは、次の情報を表示または指定できます。

  • アラートの状態 (新規、解決済み、進行中)。
  • アラートが割り当てられたユーザー アカウント。
  • アラートの分類:
    • [未設定] (既定値)。
    • 脅威 の種類を持つ真陽性。 この分類は、実際の脅威を正確に示すアラートに使用します。 この脅威の種類を指定すると、セキュリティ チームは脅威パターンを確認し、organizationを防御するために行動します。
    • アクティビティの種類を持つ情報に関する、予期されるアクティビティ。 このオプションは、技術的には正確ですが、通常の動作またはシミュレートされた脅威アクティビティを表すアラートに使用します。 通常、これらのアラートは無視する必要がありますが、実際の攻撃者やマルウェアによってアクティビティがトリガーされる将来、同様のアクティビティを想定しています。 このカテゴリのオプションを使用して、セキュリティ テスト、赤いチーム アクティビティ、および信頼できるアプリとユーザーからの予期される異常な動作に関するアラートを分類します。
    • 悪意のあるアクティビティがない場合や誤報が発生した場合でも作成されたアラートの種類に対する誤検知。 このカテゴリのオプションを使用して、通常のイベントまたはアクティビティとして誤って特定されたアラートを悪意のある、または疑わしいと分類します。 実際の脅威をキャッチするのにも役立つ可能性がある "Informational, expected activity"のアラートとは異なり、通常、これらのアラートを再び表示する必要はありません。 誤検知としてアラートを分類すると、検出品質Microsoft Defender XDR向上します。
  • アラートに関するコメント。

注:

2022 年 8 月 29 日頃、以前にサポートされていたアラート判定値 ('Apt' と 'SecurityPersonnel') は非推奨となり、API を介して使用できなくなります。

注:

タグを使用してアラートを管理する 1 つの方法。 Microsoft Defender for Office 365のタグ付け機能は段階的にロールアウトされており、現在プレビュー段階です。

現在、変更されたタグ名は、更新 に作成されたアラートにのみ適用されます。 変更前に生成されたアラートには、更新されたタグ名は反映されません。

特定のアラートに似た一連のアラートを管理するには、アラート ページの [概要の詳細] セクションの [分析情報] ボックスで [同様のアラートを表示する] を選択します。

Microsoft Defender ポータルでアラートを選択するスクリーンショット

[アラートの管理] ウィンドウで、関連するすべてのアラートを同時に分類できます。 次に例を示します。

Microsoft Defender ポータルでの関連アラートの管理のスクリーンショット

同様のアラートが過去に既に分類されている場合は、Microsoft Defender XDR推奨事項を使用して、他のアラートがどのように解決されたかを確認することで、時間を節約できます。 概要の詳細セクションで、[推奨事項] を選択します。

アラートの推奨事項を選択する例のスクリーンショット

[推奨事項] タブには、次のステップのアクションと調査、修復、防止に関するアドバイスが表示されます。 次に例を示します。

アラートの推奨事項の例のスクリーンショット

アラートを調整する

セキュリティ オペレーション センター (SOC) アナリストとして、一番の問題の 1 つは、毎日トリガーされる膨大な数のアラートをトリアージすることです。 アナリストの時間は重要であり、重大度が高く優先度の高いアラートにのみ焦点を当てる必要があります。 一方、アナリストは優先順位の低いアラートをトリアージして解決することも必要です。これは手動プロセスになる傾向があります。

アラートのチューニングでは、事前にアラートを調整および管理できます。 これにより、特定の組織の動作が発生し、ルール条件が満たされるたびに、アラートを自動的に非表示または解決することで、アラート キューが合理化され、トリアージ時間が節約されます。

ファイル、プロセス、スケジュールされたタスク、アラートをトリガーするその他の多くの証拠の種類など、"証拠の種類" に基づいてルール条件を作成できます。 ルールを作成した後、選択したアラートまたはルール条件を満たすアラートの種類にルールを適用して、アラートを調整できます。

さらに、この機能では、さまざまなMicrosoft Defender XDR サービス ソースからのアラートについても説明します。 パブリック プレビューのアラート チューニング機能は、Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps、Microsoft Entra ID 保護 (Microsoft Entra IP) などのワークロードからアラートを取得することです (これらのソースがプラットフォームとプランで使用可能な場合)。 以前は、アラートチューニング機能では、Defender for Endpoint ワークロードからのアラートのみがキャプチャされました。

注:

アラートの調整 (以前は アラート抑制と呼ばれる) を使用することをお勧めします。注意してください。 特定の状況では、既知の内部ビジネス アプリケーションまたはセキュリティ テストによって予期されるアクティビティがトリガーされ、これらのアラートを表示したくない場合があります。 そのため、これらのアラートの種類を調整するルールを作成できます。

アラートを調整するためのルール条件をCreateする

Microsoft Defender XDRでアラートを調整するには、2 つの方法があります。 [設定] ページからアラートを調整するには:

  1. [設定] に移動します。 左側のウィンドウで、[ ルール ] に移動し、[ アラートのチューニング] を選択します。

    Microsoft Defender XDRの [設定] ページの [アラートチューニング] オプションのスクリーンショット。

    [ 新しいルールの追加] を選択して、新しいアラートを調整します。 このビューで既存のルールを編集するには、一覧からルールを選択します。

    [アラートのチューニング] ページに新しいルールを追加するスクリーンショット。

  2. [ アラートの調整 ] ウィンドウで、[サービス ソース] のドロップダウン メニューでルールが適用される サービス ソースを選択できます。

    [アラートの調整] ページのサービス ソースドロップダウン メニューのスクリーンショット。

    注:

    ユーザーがアクセス許可を持っているサービスのみが表示されます。

  3. [IOC] セクションでアラートをトリガーする侵害インジケーター ( IOC) を 追加します。 特定の IOC またはアラートに追加された IOC によってトリガーされたときにアラートを停止する条件を追加できます。

    IOC は、アラートをトリガーするファイル、プロセス、スケジュールされたタスク、その他の証拠の種類などのインジケーターです。

    [アラートの調整] ページの IOC メニューのスクリーンショット。

    複数のルール条件を設定するには、 ANDOR、およびグループ化オプションを使用して、アラートを引き起こすこれらの複数の "証拠の種類" の間にリレーションシップを構築します。

    1. たとえば、トリガーする証拠 エンティティ ロール :トリガー等しい、および のいずれかを 選択して、アラートに追加された IOC によってトリガーされたときにアラートを停止します。 この 'evidence' のすべてのプロパティは、以下の各フィールドに新しいサブグループとして自動的に設定されます。

    注:

    条件値では大文字と小文字は区別されません。

    1. 要件に応じて、この "証拠" のプロパティを編集または削除できます (サポートされている場合はワイルドカードを使用)。

    2. ファイルとプロセス以外にも、マルウェア対策スキャン インターフェイス (AMSI) スクリプト、Windows Management Instrumentation (WMI) イベント、スケジュールされたタスクは、新しく追加された証拠の種類の一部であり、証拠の種類のドロップダウン リストから選択できます。

    3. 別の IOC を追加するには、[ フィルターの追加] をクリックします。

    注:

    アラートの種類を調整するには、ルール条件に少なくとも 1 つの IOC を追加する必要があります。

  4. [ アクション ] セクションで、[ アラートの非表示] または [アラートの 解決] のいずれかの適切なアクションを実行します。

    「名前」「説明」と入力し、[保存] をクリックします

    注:

    アラート タイトル (名前) は、アラート の種類 (IoaDefinitionId) に基づいており、アラート タイトルを決定します。 同じアラートの種類を持つ 2 つのアラートが、別のアラート タイトルに変更される可能性があります。

    [アラートの調整] ページの [アクション] メニューのスクリーンショット。

[アラート] ページから アラートを 調整するには:

  1. [ アラート ] ページの [ インシデントとアラート] でアラートを選択します。 または、[インシデント] ページでインシデントの詳細を確認するときにアラートを選択することもできます。

    アラートの調整は、アラートの詳細ページの右側に自動的に開く [アラートの 調整 ] ウィンドウで行うことができます。

    [アラート] ページ内の [アラート の調整] ウィンドウのスクリーンショット。

  2. [ アラートの種類 ] セクションで、アラートが適用される条件を選択します。 選択したアラートにルールを適用するには、[ このアラートの種類のみ ] を選択します。

    ただし、ルール条件を満たすアラートの種類にルールを適用するには、[ IOC 条件に基づく任意のアラートの種類] を選択します。

    [アラートの種類] セクションが強調表示されている [アラート の調整] ウィンドウのスクリーンショット。

  3. アラートのチューニングが Defender for Endpoint 固有の場合は、[ スコープ ] セクションに入力する必要があります。 ルールがorganization内のすべてのデバイスに適用されるか、特定のデバイスに適用されるかを選択します。

    注:

    すべてのorganizationにルールを適用するには、管理ロールのアクセス許可が必要です。

    [スコープ] セクションが強調表示されている [アラート ウィンドウの調整] のスクリーンショット。

  4. [ 条件 ] セクションに条件を追加して、特定の IOC またはアラートに追加された IOC によってトリガーされたときにアラートを停止します。 このセクションでは、特定のデバイス、複数のデバイス、デバイス グループ、organization全体、またはユーザー別に選択できます。

    注:

    [スコープ] が [ユーザー] にのみ設定されている場合は、管理アクセス許可が必要です。 [スコープ] が [ユーザー] に [デバイス]、[デバイス グループ] と共に設定されている場合は、管理アクセス許可は必要ありません。

    [条件] セクションが強調表示されている [アラート の調整] ウィンドウのスクリーンショット。

  5. [IOC] セクションでルールが適用される IOC を 追加します。 [任意の IOC ] を選択すると、アラートの原因となった "証拠" に関係なく、アラートを停止できます。

    [IOC] セクションが強調表示されている [アラート ウィンドウの調整] のスクリーンショット。

  6. または、[IOC] セクションで [すべてのアラート 7 関連 IOC を自動入力する] を選択して、[条件] セクションにすべてのアラート関連の証拠の種類とそのプロパティを一度に追加できます。

    すべてのアラートに関連する IOC の自動入力のスクリーンショット。

  7. [ アクション ] セクションで、[ アラートの非表示] または [アラートの 解決] のいずれかの適切なアクションを実行します。

    「名前」「コメント」と入力し、[保存] をクリックします

    [アラートの調整] ウィンドウの [アクション] セクションのスクリーンショット。

  8. IOC が今後ブロックされないようにします。

    アラート チューニング ルールを保存したら、表示される [成功したルールの作成 ] ページで、選択した IOC を "許可リスト" にインジケーターとして追加し、今後ブロックされないようにすることができます。

    アラート関連のすべての IOC が一覧に表示されます。

    抑制条件で選択された IOC は、既定で選択されます。

    1. たとえば、許可するファイルを [証拠の選択 (IOC)] に追加して許可できます。 既定では、アラートをトリガーしたファイルが選択されています。
    2. 適用するスコープの 選択にスコープを入力します。 既定では、関連するアラートのスコープが選択されています。
    3. [保存] をクリックします。 これで、ファイルは許可リストに含まれているのでブロックされません。

  9. 新しいアラート チューニング機能は、既定で使用できます。

    ただし、[設定] Microsoft Defender XDR [ルール アラートのチューニング] >> に移動してMicrosoft Defenderポータルで以前のエクスペリエンスに戻り、[新しいチューニング ルール>の作成が有効] トグルをオフに切り替えることができます。

    注:

    間もなく、新しいアラート チューニング エクスペリエンスのみが使用できるようになります。 以前のエクスペリエンスに戻ることはできません。

  10. 既存のルールを編集する:

    関連するルールを選択し、[ルールの編集] をクリックすると、Microsoft Defender ポータルでルールの条件と新しいルールまたは既存のルールの範囲をいつでも追加または変更できます。

    既存のルールを編集するには、[ 新しいアラート チューニング ルールの作成が有効] トグルが有効になっていることを確認します。

アラートを解決する

アラートの分析が完了し、解決できたら、アラートまたは同様の アラートの [アラートの管理 ] ウィンドウに移動し、状態を 解決 済みとしてマークし、脅威の種類を持つ True 陽性 、アクティビティの種類を持つ Informational、expected アクティビティ 、または False 陽性として分類します。

アラートを分類すると、検出品質Microsoft Defender XDR向上させることができます。

Power Automate を使用してアラートをトリアージする

最新のセキュリティ運用 (SecOps) チームは、効果的に機能するための自動化を必要とします。 SecOps チームは、実際の脅威のハンティングと調査に集中するために、Power Automate を使用してアラートの一覧をトリアージし、脅威ではないアラートを排除します。

アラートを解決するための条件

  • ユーザーが不在時メッセージを有効にしている
  • ユーザーが高リスクとしてタグ付けされていない

両方が true の場合、SecOps はアラートを正当な旅行としてマークし、解決します。 通知は、アラートが解決された後に Microsoft Teams に投稿されます。

Power Automate をMicrosoft Defender for Cloud Appsに接続する

自動化を作成するには、Power Automate をMicrosoft Defender for Cloud Appsに接続する前に API トークンが必要です。

  1. Microsoft Defender開き、[設定][Cloud Apps>API トークン] > の順に選択し、[API トークン] タブで [トークンの追加] を選択します。

  2. トークンの名前を指定し、[ 生成] を選択します。 後で必要に応じてトークンを保存します。

自動フローをCreateする

この短いビデオでは、スムーズなワークフローを作成するための自動化のしくみと、Power Automate を Defender for Cloud Apps に接続する方法について説明します。

次の手順

インプロセス インシデントに必要に応じて、 調査を続行します。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします