この記事では、Microsoft Defender ポータルの関連付けエンジンが、生成するすべてのソースから収集されたアラートを集計し、それらをポータルに送信する方法について説明します。 Defender がこれらのアラートからインシデントを作成する方法と、その進化を監視し続け、状況が必要な場合にインシデントをマージする方法について説明します。 アラートとそのソースの詳細、およびインシデントがMicrosoft Defender ポータルで価値を追加する方法の詳細については、Microsoft Defender ポータルのインシデントとアラートに関するページを参照してください。
インシデントの作成とアラートの関連付け
Microsoft Defender ポータルの「インシデントとアラート」で説明されているように、Microsoft Defender ポータルのさまざまな検出メカニズムによってアラートが生成されると、次のロジックに従って新しいインシデントまたは既存のインシデントに配置されます。
- 特定の時間枠内のすべてのアラート ソースでアラートが十分に一意である場合、Defender は新しいインシデントを作成してアラートを追加します。
- 特定の期間内に、同じソースまたはソース間の他のアラートにアラートが十分に関連している場合、Defender はアラートを既存のインシデントに追加します。
1 つのインシデントでアラートを相互に関連付けるために Defender ポータルで使用される条件は、独自の内部相関ロジックの一部です。 このロジックは、新しいインシデントに適切な名前を付ける役割も担います。
ワークスペースによるアラートの関連付けMicrosoft Sentinel
データ ソースとしてMicrosoft Sentinelを含むように Defender ポータルが構成されている場合、各Microsoft Sentinel ワークスペースは個別のデータ ソースと見なされます。 Microsoft Sentinel用のワークスペースが複数ある場合、Defender ポータルを使用すると、それらのワークスペースのいずれかをプライマリ ワークスペースとして構成できます。 プライマリ ワークスペースから送信されるアラートは、Microsoft Defender XDRアラートと関連付けることができ、インシデントにまとめて含めることができます。 オンボードされたその他のMicrosoft Sentinel ワークスペースは、セカンダリ ワークスペースと見なされます。 これらのセカンダリ ワークスペースからのアラートは、Defender XDRまたはその他の Defender ポータル データ ソース (他のMicrosoft Sentinel ワークスペースを含む) からのアラートとは関連付けされません。 Defender ポータルでは、Microsoft Sentinel ワークスペース間でインシデントの作成とアラートの相関関係が分離されます。 詳細については、「Defender ポータルの複数のMicrosoft Sentinel ワークスペース」を参照してください。
アラートの手動関連付け
Microsoft Defenderは既に高度な相関メカニズムを使用していますが、特定のアラートが特定のインシデントに属しているかどうかを異なる方法で決定することもできます。 このような場合は、あるインシデントからアラートのリンクを解除し、別のインシデントにリンクできます。 すべてのアラートはインシデントに属している必要があるため、アラートを別の既存のインシデントにリンクするか、その場で作成した新しいインシデントにリンクできます。
1 つのインシデントから別のインシデントにアラートを移動する方法の詳細については、Microsoft Defender ポータルの「インシデント間でアラートを移動する」を参照してください。
インシデントの相関関係とマージ
Defender ポータルの関連付けアクティビティは、インシデントの作成時に停止しません。 Defender は、インシデント間の共通点と関係とインシデント間のアラートを引き続き検出します。 複数のインシデントが十分に同じであると判断された場合、Defender はインシデントを 1 つのインシデントにマージします。
インシデントをマージするための条件
Defender の相関エンジンは、データと攻撃動作に関する深い知識に基づいて、個別のインシデント内のアラート間の一般的な要素を認識すると、インシデントをマージします。 これらの要素の一部は次のとおりです。
- エンティティ - ユーザー、デバイス、メールボックスなどの資産
- 成果物 - ファイル、プロセス、電子メールの送信者など
- タイム フレーム
- マルチステージ攻撃を指す一連のイベント (フィッシングメール検出に密接に続く悪意のあるメール クリック イベントなど)。
マージ プロセスの詳細
2 つ以上のインシデントがマージされると、それらを吸収するための新しいインシデントは作成 されません 。 代わりに、1 つのインシデント ( "ソース インシデント") の内容がもう一方のインシデント ( "ターゲット インシデント") に移行され、ソース インシデントが自動的に閉じられます。 ソース インシデントは Defender ポータルで表示または使用できなくなり、その参照はターゲット インシデントにリダイレクトされます。 ソース インシデントは閉じられていますが、Azure portalのMicrosoft Sentinelでアクセス可能なままになります。
マージ方向
インシデントマージの方向は、どのインシデントがソースであり、どのインシデントがターゲットであるかを示します。 この方向は、情報の保持とアクセスを最大化することを目的として、独自の内部ロジックに基づいて、Microsoft Defenderによって決定されます。 インシデントを手動でマージする場合でも、この決定に対する入力はありません。
インシデントの内容
インシデントの内容は、次の方法で処理されます。
- ソース インシデントに含まれるすべてのアラートは、ソース インシデントから削除され、ターゲット インシデントに追加されます。
- ソース インシデントに適用されたすべてのタグは、ソース インシデントから削除され、ターゲット インシデントに追加されます。
-
Redirectedタグがソース インシデントに追加されます。 - エンティティ (アセットなど) は、リンク先のアラートに従います。
- ソース インシデントの作成に関連して記録された分析ルールは、ターゲット インシデントに記録されたルールに追加されます。
- 現時点では、ソース インシデントのコメントとアクティビティ ログ エントリはターゲット インシデントに移動 されません 。
ソース インシデントのコメントとアクティビティ履歴を表示するには、Azure portalのMicrosoft Sentinelでインシデントを開きます。 アクティビティ履歴には、インシデントの終了、インシデントのマージに関連するアラート、タグ、その他の項目の追加と削除が含まれます。 これらのアクティビティは、ID Microsoft Defender XDR - アラートの相関関係に起因します。
インシデントがマージされない場合
相関ロジックが 2 つのインシデントをマージする必要があることを示している場合でも、Defender は次の状況ではインシデントをマージしません。
- いずれかのインシデントの状態が "Closed" です。 解決されたインシデントは再び開かれない。
- ソース インシデントとターゲット インシデントは、2 人の異なるユーザーに割り当てられます。
- ソース インシデントとターゲット インシデントには、2 つの異なる分類 (真陽性と偽陽性など) または 2 つの異なる決定 (分類のサブカテゴリ) があります。
- 2 つのインシデントをマージすると、ターゲット インシデント内のエンティティの数が許可された最大値を超えます。
- 2 つのインシデントには、organizationによって定義された異なるデバイス グループ内のデバイスが含まれています。
(この条件は既定では有効ではありません。有効にする必要があります)。
インシデントの手動マージ (プレビュー)
2 つのインシデントをマージする必要があるが、 前のセクションに示した理由のいずれにもマージされない場合は、基になる理由を修正した後にインシデントを手動でマージできるようになりました。
たとえば、インシデントが 2 人の異なるユーザーに割り当てられたためにマージされなかった場合は、いずれかのインシデントの割り当てを削除してから、インシデントを手動でマージできます。
インシデント情報 (アクティビティ ログなど) がすべて保持されるため、インシデントのリンクを解除し、別のインシデントにリンクする場合は、インシデントをマージすることをお勧めします。
現時点では、一度に 5 つのインシデントを手動でマージできます。
手動マージを管理する他の規則は、自動マージと同じです。 上記 のマージ プロセスの詳細を 参照してください。
インシデントを手動でマージする手順と詳細については、Microsoft Defender ポータルの「インシデントを手動でマージする」を参照してください。
次の手順
インシデントの優先順位付けと管理の詳細については、次の記事を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。