Microsoft Defender XDR でのアラート、インシデント、相関関係
Microsoft Defender XDR では、 アラート は、さまざまな脅威検出アクティビティに起因するソースのコレクションからのシグナルです。 これらのシグナルは、環境内で悪意のあるイベントまたは疑わしいイベントが発生したことを示します。 アラートは、多くの場合、より広範で複雑な攻撃ストーリーの一部であり、関連するアラートが集約され、相互に関連付けられるので、これらの攻撃ストーリーを表す インシデント が形成されます。
インシデントは、 攻撃の全体像を提供します。 Microsoft Defender XDR のアルゴリズムは、すべての Microsoft セキュリティおよびコンプライアンス ソリューションからのシグナル (アラート) と、Microsoft Sentinel と Microsoft Defender for Cloud を通じた膨大な数の外部ソリューションからのシグナル (アラート) を自動的に関連付けます。 Defender XDR は、AI を使用してテレメトリ ソースを継続的に監視し、既に開いているインシデントにさらに証拠を追加して、複数のシグナルを同じ攻撃ストーリーに属していると識別します。
インシデントは"ケース ファイル" としても機能し、調査を管理および文書化するためのプラットフォームを提供します。 この点に関するインシデントの機能の詳細については、 Microsoft Defender ポータルでのインシデント対応に関するページを参照してください。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォーム内で一般提供されるようになりました。 詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。
インシデントとアラートの主な属性と、それらの違いの概要を次に示します。
事件:
- セキュリティ オペレーション センター (SOC) の作業の主要な "測定単位" です。
- 攻撃の広範なコンテキスト ( 攻撃ストーリー) を表示します。
- 脅威と調査結果の調査に必要なすべての情報の "ケース ファイル" を表します。
- 少なくとも 1 つのアラートを含めるために Microsoft Defender XDR によって作成され、多くの場合、多くのアラートが含まれます。
- 自動化ルール、攻撃中断、プレイブックを使用して、脅威に対する一連の自動応答をトリガーします。
- 脅威とその調査と解決に関連するすべてのアクティビティを記録します。
アラート:
- インシデントの理解と調査に不可欠なストーリーの個々の部分を表します。
- Defender ポータルの内部と外部の両方で、さまざまなソースによって作成されます。
- より深い分析が必要な場合に価値を追加するために、単独で分析することができます。
- 潜在的な脅威への影響を最小限に抑えるために、アラート レベルで 自動調査と応答 をトリガーできます。
アラート ソース
Microsoft Defender XDR アラートは、多くのソースによって生成されます。
Microsoft Defender XDR の一部であるソリューション
- Microsoft Defender for Endpoint
- Microsoft Defender for Office 365
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Cloud Apps 用アプリ ガバナンス アドオン
- Microsoft Entra ID Protection
- Microsoft データ損失防止
Microsoft Defender セキュリティ ポータルと統合されているその他のサービス
- Microsoft Sentinel
- Microsoft Sentinel にアラートを渡す Microsoft 以外のセキュリティ ソリューション
- Microsoft Defender for Cloud
Microsoft Defender XDR 自体もアラートを作成します。 Microsoft Sentinel が 統合セキュリティ操作プラットフォームにオンボードされると、Microsoft Defender XDR の相関エンジンは、Microsoft Sentinel によって取り込まれるすべての生データにアクセスできるようになりました。 (このデータは 、高度なハンティング テーブルにあります)。Defender XDR の独自の相関機能により、デジタル資産内のすべての Microsoft 以外のソリューションに対して、データ分析と脅威検出の別のレイヤーが提供されます。 これらの検出により、Microsoft Sentinel の分析ルールによって既に提供されているアラートに加えて、Defender XDR アラートが生成されます。
異なるソースからのアラートが一緒に表示されると、各アラートのソースは、アラート ID の前に付加された文字のセットによって示されます。 [アラート ソース] テーブルは、アラート ソースをアラート ID プレフィックスにマップします。
インシデントの作成とアラートの関連付け
前のセクションで説明したように、Microsoft Defender セキュリティ ポータルのさまざまな検出メカニズムによってアラートが生成されると、Defender XDR は次のロジックに従って新しいインシデントまたは既存のインシデントにアラートを配置します。
シナリオ | Decision |
---|---|
アラートは、特定の時間枠内のすべてのアラート ソースで十分に一意です。 | Defender XDR によって新しいインシデントが作成され、アラートが追加されます。 |
アラートは、特定の時間枠内で、同じソースまたはソース間の他のアラートに十分に関連しています。 | Defender XDR は、既存のインシデントにアラートを追加します。 |
Microsoft Defender が 1 つのインシデントでアラートを相互に関連付けるために使用する基準は、独自の内部相関ロジックの一部です。 このロジックは、新しいインシデントに適切な名前を付ける役割も担います。
インシデントの相関関係とマージ
Microsoft Defender XDR の関連付けアクティビティは、インシデントの作成時に停止しません。 Defender XDR は、インシデント間、およびインシデント間のアラート間の共通点と関係を引き続き検出します。 2 つ以上のインシデントが十分に似ていると判断された場合、Defender XDR はインシデントを 1 つのインシデントにマージします。
Defender XDR はどのようにその決定を行いますか?
Defender XDR の相関エンジンは、データと攻撃動作に関する深い知識に基づいて、個別のインシデント内のアラート間の一般的な要素を認識すると、インシデントをマージします。 これらの要素の一部は次のとおりです。
- エンティティ - ユーザー、デバイス、メールボックスなどの資産
- 成果物 - ファイル、プロセス、電子メールの送信者など
- タイム フレーム
- マルチステージ攻撃を指す一連のイベント (フィッシングメール検出に密接に続く悪意のあるメール クリック イベントなど)。
インシデントがマージ されない のはいつですか?
相関ロジックが 2 つのインシデントをマージする必要があることを示している場合でも、Defender XDR は次の状況ではインシデントをマージしません。
- いずれかのインシデントの状態が "Closed" です。 解決されたインシデントは再び開かれない。
- マージの対象となる 2 つのインシデントは、2 人の異なるユーザーに割り当てられます。
- 2 つのインシデントをマージすると、マージされたインシデント内のエンティティの数が許可される最大値を超える数が増えます。
- 2 つのインシデントには、組織によって定義された異なる デバイス グループ 内のデバイスが含まれています。
(この条件は既定では有効ではありません。有効にする必要があります)。
インシデントがマージされるとどうなりますか?
2 つ以上のインシデントがマージされると、それらを吸収するための新しいインシデントは作成されません。 代わりに、1 つのインシデントの内容が他のインシデントに移行され、プロセスで破棄されたインシデントが自動的に閉じられます。 破棄されたインシデントは、Microsoft Defender XDR で表示または使用できなくなり、その参照は統合インシデントにリダイレクトされます。 破棄された閉じられたインシデントは、Azure portal の Microsoft Sentinel で引き続きアクセスできます。 インシデントの内容は、次の方法で処理されます。
- 破棄されたインシデントに含まれるアラートは、そこから削除され、統合インシデントに追加されます。
- 破棄されたインシデントに適用されたすべてのタグが削除され、統合インシデントに追加されます。
- 破棄されたインシデントに
Redirected
タグが追加されます。 - エンティティ (アセットなど) は、リンク先のアラートに従います。
- 破棄されたインシデントの作成に関連して記録された分析ルールは、統合インシデントに記録されたルールに追加されます。
- 現時点では、破棄されたインシデントのコメントとアクティビティ ログ エントリは統合インシデントに移動 されません 。
破棄されたインシデントのコメントとアクティビティ履歴を表示するには、Azure portal で Microsoft Sentinel でインシデントを開きます。 アクティビティ履歴には、インシデントの終了、インシデントのマージに関連するアラート、タグ、その他の項目の追加と削除が含まれます。 これらのアクティビティは、 ID Microsoft Defender XDR - アラートの相関関係に起因します。
手動の関連付け
Microsoft Defender XDR では高度な相関メカニズムが既に使用されていますが、特定のアラートが特定のインシデントに属しているかどうかを異なる方法で決定することもできます。 このような場合は、あるインシデントからアラートのリンクを解除し、別のインシデントにリンクできます。 すべてのアラートはインシデントに属している必要があるため、アラートを別の既存のインシデントにリンクするか、その場で作成した新しいインシデントにリンクできます。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender XDR Tech Community) にご参加ください。
次の手順
インシデント、調査、対応の詳細を読む: Microsoft Defender ポータルでのインシデント対応