次の方法で共有

インシデントとアラートを調査する

  • [アーティクル]

Microsoft Defender ポータルの Microsoft Defender for IoT には、インシデントとアラートが表示されます。これにより、運用テクノロジ (OT) ネットワークに記録されたイベントに関するリアルタイムの詳細を使用して、ネットワークのセキュリティと運用が強化されます。

アラートは、すべてのインシデントの起点であり、環境内での悪意のあるイベントまたは疑わしいイベントの発生を示します。 インシデント内では、ネットワークに影響を与えるアラートを分析し、その意味を理解し、証拠を照合して、効果的な修復計画を立てることができるようにします。

Defender ポータル でアラートインシデントの 詳細を確認します。

この記事では、Microsoft Defender for IoT インシデントとそれに関連するアラートを調査する方法と、アラートによって発生するセキュリティの問題を修復する方法について説明します。

[インシデント] ページのアラートは、IT と OT 環境のシグナルを一意に組み合わせて、潜在的な脅威とデータ リークを検出します。 [ インシデント] ページには、 次の情報が表示されます。

  • インシデントに接続されたアラートの履歴とインシデント グラフ。 グラフには、影響を受ける OT デバイスに接続されている他のデバイスも侵害される可能性があることを示しています。
  • 検出されたセキュリティの問題の種類を説明するアラートの説明。
  • セキュリティの問題を解決するための修復オプション。

注:

Defender for IoT のインシデントデータとアラート データは、サイトを設定し、デバイスが Defender ポータルにデータを送信している場合にのみ表示されます。 サイトを設定する方法について説明します。

重要

この記事では、Defender ポータル (プレビュー) で Microsoft Defender for IoT について説明します。

従来の Defender for IoT ポータル (Azure portal) で作業している既存の顧客の場合は、Defender for IoT on Azure のドキュメントを参照してください。

Defender for IoT 管理ポータルの詳細については、こちらをご覧ください。

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

アラートを調査する

アラートを調査するには:

  1. Microsoft Defender ポータル メニューで、[インシデント] & [インシデント] > [アラート] を選択します。

  2. OT 関連のインシデントを表示するには:

    1. [ フィルターの追加] を選択します
    2. [ 製品名 ] を選択し、[追加] を選択 します
    3. 表示される [ 製品名 ] タブを選択し、「 Defender for IoT」と入力します。
    4. [適用] を選択します。

  3. インシデントを見つけて選択します。

    特定のインシデント ページには、アラート タイムライン、インシデント グラフ、インシデントの詳細で構成される攻撃ストーリーが表示されます。

  4. アラートの一覧からアラートを選択します。

    インシデント グラフとインシデントの詳細には、このアラートの特定のデータが表示されます。

  5. [ インシデント ] パネルで、情報を確認し、 アラートの説明証拠影響を受けた資産 を読み、 アラートの推奨アクション に従って問題を修復します。

Defender for IoT アラート

Defender for IoT は独自のアラートを生成します。

名前 説明
デバイスの侵害による運用上の影響の可能性 運用テクノロジ (OT) 資産と通信する侵害されたデバイス。 攻撃者が物理操作を制御または中断しようとしている可能性があります。

高度な追及

DeviceInfo テーブルに一覧表示されている Site プロパティを使用して、高度なハンティング用のクエリを記述します。 これにより、特定のサイトで悪意のあるデバイスと通信したすべてのデバイスなど、特定のサイトに従ってデバイスをフィルター処理できます。

次のクエリでは、サンフランシスコ サイトの特定の IP アドレスを持つすべてのエンドポイント デバイスの一覧を示します。

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

これは、デバイス インベントリとサイト セキュリティの両方に関連します。 詳細については、「 Advanced hunting」と「Advanced huntingDeviceInfo スキーマ」を参照してください。