次の方法で共有

セキュリティ アラートの表示と管理

アラート キューには、ネットワーク内の ID からフラグが設定されたアラートの一覧が表示されます。 既定では、キューには、グループ化されたビューの過去 7 日間に表示されたアラートが表示されます。 一覧の上部に最新のアラートが表示され、最初に最新のアラートが表示されます。

アラート キューを表示する

Microsoft Defender ポータルで、[インシデント] & [アラート] に移動し、[アラート] に移動します。

過去 7 日間のアラートは、次の情報と共に表示されます。

  • アラート名
  • タグ
  • 重要度
  • 調査の状態
  • 状態
  • カテゴリ
  • 検出ソース
  • 影響を受ける資産
  • 最初のアクティビティ
  • [最後のアクティビティ]

Defender ポータルの [アラート] ページを示すスクリーンショット。完全なアラートの詳細を含む、疑わしいブルートフォースという名前の 2 つのアラートが一覧表示されます。

アラート キューのビューをカスタマイズする

アラート キューのビューは、いくつかの方法でカスタマイズできます。 ページの上部にあるツールを使用すると、次のことができます。

  • ビューをカスタマイズして列を追加または削除します。
  • フィルターの適用。
  • 期間をカスタマイズします。 1 日、3 日、1 週間、30 日、6 か月など、特定の期間のアラートを表示します。
  • 分析のために詳細な Excel レポートをエクスポートします。

アラート ビューをフィルター処理する

次のフィルターを適用して、アラートのより焦点を絞ったビューを取得できます。

通知 説明
重大度 アラートの重大度は、攻撃者が持つ可能性のあるアクセスの量、攻撃が成功した場合の潜在的な影響、アラートが真の肯定的である可能性など、いくつかの要因に基づいています。 アラートの種類とその割り当てられた重大度レベルの完全な一覧については、「セキュリティ アラート名のマッピングと一意の外部 ID」を参照してください。
状態 [状態] に基づいてアラートの一覧をフィルター処理できます。 たとえば、フィルター処理して、[ 新規]、[ 進行中]、[ 解決済み] のアラートのみを表示できます。
検出ソース 次の検出ソースに基づいてアラートをフィルター処理できます:Microsoft Defender for IdentityまたはMicrosoft Defender XDR
Tags アラートに割り当てられたタグに基づいてアラートをフィルター処理できます。

アラートを表示する

次のいずれかのアラート名を選択することで、複数の場所から個々のアラートにアクセスできます。

  • [ アラート] ページ
  • [ インシデント] ページ
  • [ID] ページ
  • 個々のデバイスのページ
  • 高度なハンティング ページ

[アラート] ページ

[アラート] ページでは、選択したアラートに関連する攻撃シグナルとアラートを組み合わせてアラートにコンテキストを提供し、詳細なアラート ストーリーを構築します。 [アラート] ページは、アラートのトリアージ、調査、および効果的なアクションの実行をすばやく行うのに役立ちます。

注:

Microsoft Defender for Identityアラートは現在、Microsoft Defender XDR ポータルの 2 つの異なるレイアウトに表示されます。 アラート ビューにはさまざまな情報が表示されますが、すべてのアラートは Defender for Identity センサーからの検出に基づいています。 表示されるレイアウトと情報の違いは、Microsoft Defender製品全体で統合されたアラート エクスペリエンスへの継続的な移行の一部です。

Defender for Identity と Defender XDRの両方からアラートを表示するには、[フィルター] を選択し、[サービス ソース] で [Microsoft Defender for IdentityDefender XDRを選択し、[適用] を選択します。

サービスごとのアラート フィルター メニューを示すスクリーンショット。

アラートのMicrosoft Defender for Identity

ページの上部には、アラートの アカウント宛先ホストおよびソース ホスト のセクションがあります。 アラートによっては、追加のホスト、アカウント、IP アドレス、ドメイン、セキュリティ グループの詳細が表示される場合があります。 いずれかのエンティティを選択して、関連するエンティティの詳細を取得します。

  • [ アラート ストーリー ] セクションには、アラートの詳細を含む完全なストーリーを提供するための情報が表示されます。 アラート ストーリーは、次の 2 つのセクションに分かれています。
    • 発生した内容には、アラートのタイムラインと、アラートに関連するエンティティが含まれます。
    • アラート グラフ には、アラートに関連するエンティティとそのリレーションシップなど、アラートの視覚的な表現が表示されます。 このグラフは、エンティティがどのように接続されているか、およびそれらがアラートにどのように関連しているかを理解するのに役立ちます。
  • 重要な情報 は、アラート調査をサポートする技術的なコンテキストを提供します。 この情報を使用して、アクティビティが予期されたか疑わしいかを検証し、インシデントを含めるかエスカレートするために実行するアクションを決定できます。
  • アクティビティの詳細 は、タイムスタンプ、基本オブジェクト、検索スコープ、アラートに関するその他の詳細など、詳細情報を提供します。
  • ページの右側にある 詳細ウィンドウ には、アラートの詳細、コメント & 履歴など、 アラートに関する追加情報 が表示されます。 詳細ウィンドウには、次のような追加のオプションも表示されます。
    • アラートの管理
    • アラートのエクスポート
    • アラートを別のインシデントに移動する
    • アラートを分類する

Defender for Identity アラート構造を示すスクリーンショット。

アラートのMicrosoft Defender XDR

ページの上部には、アラートの アカウント宛先ホストおよびソース ホスト のセクションがあります。 アラートによっては、追加のホスト、アカウント、IP アドレス、ドメイン、セキュリティ グループの詳細を示すボタンが表示される場合があります。 いずれかのエンティティを選択して、関連するエンティティの詳細を取得します。

  • [ アラート ストーリー ] セクションには、アラートの詳細を含む完全なストーリーを提供するための情報が表示されます。 アラート ストーリーは、次の 2 つのセクションに分かれています。
    • 発生した内容には、アラートのタイムラインと、アラートに関連するエンティティが含まれます。
  • ページの右側にある 詳細ウィンドウ には、アラートの詳細、コメント & 履歴など、 アラートに関する追加情報 が表示されます。 詳細ウィンドウには、次のような追加のオプションも表示されます。
    • アラートの管理
    • アラートを別のインシデントに移動する
    • アラートを分類する

Defender for XDR アラート構造を示すスクリーンショット

セキュリティ アラートの管理

アラートを選択すると、[アラート管理] ウィンドウが開き、次のアクションを実行できます。

アラートの状態を変更する

調査の進行状況に応じて状態を変更することで、アラートを新規、進行中、または解決済みとして分類できます。 これにより、チームがアラートに応答する方法を整理および管理できます。 たとえば、チーム リーダーはすべての新しいアラートを確認し、さらに分析するために進行中キューに割り当てることを決定できます。 チーム リーダーは、アラートが問題ないことがわかっている場合、または無関係なデバイス (セキュリティ管理者に属するデバイスなど) から送信された場合、または以前のアラートで対処されている場合、解決済みキューにアラートを割り当てることができます。

アラートを別のインシデントに移動する

アラートから新しいインシデントを作成したり、既存のインシデントにリンクしたりできます。

アラートを別のインシデントに移動するオプションを示すスクリーンショット。

アラートを割り当てる

アラートがまだ割り当てられていない場合は、[自分に割り当てる] を選択してアラートを自分に割り当てることができます。

アラートを自分に割り当てる方法を示すスクリーンショット。

アラートにコメントを追加する

アラートにコメントを追加して、追加のコンテキストまたは情報を提供できます。 これは、チームと分析情報を共有したり、調査プロセスを文書化したりするのに役立ちます。 アラートに変更またはコメントが加えられた場合は常に、[コメントと履歴] セクションに記録されます。

Microsoft Defender ポータルの [コメント & 履歴] セクションを示すスクリーンショット。コメントを入力するためのテキスト ボックスが用意されています。

セキュリティ アラートを分類する

各アラートについて、次の質問をしてアラートの分類を決定し、次に何を行うかを決定します。

  1. セキュリティ アラートは TP、B-TP、または FP ですか?
  2. 環境内のこの特定のセキュリティ アラートはどのくらい一般的ですか?
  3. アラートは、同じ種類のコンピューターまたはユーザーによってトリガーされましたか? たとえば、同じロールを持つサーバーや、同じグループ/部署のユーザーなどです。 コンピューターまたはユーザーが似ている場合は、追加の FP アラートを回避するために除外することを決定する場合があります。

適切な調査の後、すべての Defender for Identity セキュリティ アラートは、次のいずれかのアクティビティの種類として分類できます。

  • 真陽性 (TP): Defender for Identity によって検出された悪意のあるアクション。

  • 問題のない真陽性 (B-TP): Defender for Identity によって検出されたアクション。侵入テストや、承認されたアプリケーションによって生成された既知のアクティビティなど、悪意のあるものではありません。

  • 誤検知 (FP): 誤報。つまり、アクティビティが発生しなかったことを意味します。

アラートを true または false のアラートとして分類する方法を示すスクリーンショット。

注:

まったく同じ種類のアラートが増加すると、通常、アラートの疑わしい/重要度レベルが低下します。 繰り返し発生するアラートの場合は、構成を確認し、セキュリティ アラートの詳細と定義を使用して、繰り返しをトリガーする何が起こっているのかを正確に把握します。

アラートのチューニング

アラートを調整して最適化し、誤検知を減らします。 アラートチューニングを使用すると、SOC チームは優先度の高いアラートに集中し、システム全体の脅威検出カバレッジを向上させることができます。 Microsoft Defender XDRで、証拠の種類に基づいてルールの条件を作成し、条件に一致するすべてのルールの種類にルールを適用します。

詳細については、「 アラートの調整」を参照してください。

関連コンテンツ