Microsoft Defender ポータルでのインシデントの優先順位付け
Microsoft Defender ポータルの統合セキュリティ運用プラットフォームは、関連付け分析を適用し、関連するアラートと、さまざまな製品からの自動調査をインシデントに集計します。 また、Microsoft Sentinel と Defender XDR は、製品スイート全体の統合プラットフォームでエンドツーエンドの可視性を確保することで、悪意があるとのみ識別できるアクティビティに対する一意のアラートをトリガーします。 このビューは、セキュリティ アナリストに広範な攻撃ストーリーを提供します。これにより、組織全体の複雑な脅威をより適切に理解し、対処するのに役立ちます。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォーム内で一般提供されるようになりました。 詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。
インシデント キュー
インシデント キューには、デバイス、ユーザー、メールボックス、およびその他のリソース間で作成されたインシデントのコレクションが表示されます。 インシデントを並べ替えて優先順位を付け、情報に基づいたサイバーセキュリティ対応の決定 (インシデントトリアージと呼ばれるプロセス) を作成するのに役立ちます。
インシデント キューには、Microsoft Defender ポータルのクイック 起動 & インシデント>アラートからアクセスできます。 次に例を示します。
[ 最新のインシデントとアラート ] を選択して上部セクションの展開を切り替えます。このグラフには、受信したアラートの数と過去 24 時間以内に作成されたインシデントのタイムライン グラフが表示されます。
その下の Microsoft Defender ポータルのインシデント キューには、過去 6 か月間に発生したインシデントが表示されます。 別の時間枠は、上部のドロップダウンから選択することで選択できます。 インシデントは、インシデントに対して行われた最新の自動更新または手動更新に従って配置されます。 最新の自動更新または手動更新に従ってインシデントを表示するには、[ 最終更新時刻 ] 列でインシデントを配置できます。
インシデント キューにはカスタマイズ可能な列があり、インシデントのさまざまな特性や影響を受けるエンティティを可視化できます。 このフィルター処理は、分析のためのインシデントの優先順位付けに関する情報に基づいた決定を行うのに役立ちます。 [ 列のカスタマイズ] を選択して、目的のビューに基づいて次のカスタマイズを実行します。
- インシデント キューに表示する列をオンまたはオフにします。
- 列をドラッグして、列の順序を調整します。
インシデント名
一目でわかるように、Microsoft Defender XDR では、影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどのアラート属性に基づいて、インシデント名が自動的に生成されます。 この特定の名前付けにより、インシデントのスコープをすばやく理解できます。
たとえば、 複数のソースによって報告された複数のエンドポイントに対するマルチステージ インシデント。
Microsoft Sentinel を統合セキュリティ運用プラットフォームにオンボードした場合、Microsoft Sentinel から送信されたアラートとインシデントは、(オンボードの前後に作成されたかどうかに関係なく) 名前が変更される可能性があります。
自動化ルールをトリガーするための条件としてインシデント名を使用しないことをお勧めします。 インシデント名が条件であり、インシデント名が変更された場合、ルールはトリガーされません。
フィルター
インシデント キューには複数のフィルターオプションも用意されています。このオプションを適用すると、環境内のすべての既存のインシデントを広範に実行したり、特定のシナリオや脅威に焦点を当てることを決定したりできます。 インシデント キューにフィルターを適用すると、すぐに注意が必要なインシデントを特定できます。
インシデントの一覧の上にある [フィルター] リストには、現在適用されているフィルターが表示されます。
既定のインシデント キューから [ フィルターの追加] を選択すると、[ フィルターの追加] ドロップダウンが表示され、そこからインシデント キューに適用するフィルターを指定して、表示されるインシデントのセットを制限できます。 次に例を示します。
使用するフィルターを選択し、一覧の下部にある [ 追加] を選択して使用できるようにします。
これで、選択したフィルターが、既存の適用されたフィルターと共に表示されます。 新しいフィルターを選択して、条件を指定します。 たとえば、"サービス/検出ソース" フィルターを選択した場合は、そのフィルターを選択して、一覧をフィルター処理するソースを選択します。
[ フィルター ] ウィンドウは、インシデントの一覧の上にある [フィルター] ボックスの一覧で フィルター のいずれかを選択して表示することもできます。
次の表に、使用可能なフィルター名の一覧を示します。
フィルター名 | 説明/条件 |
---|---|
状態 | [ 新規]、[ 進行中]、または [解決済み] を選択します。 |
アラートの重大度 インシデントの重大度 |
アラートまたはインシデントの重大度は、資産に与える可能性がある影響を示します。 重大度が高いほど影響が大きくなり、通常は最も迅速な注意が必要です。 [ 高]、[ 中]、[ 低]、または [ 情報] を選択します。 |
インシデントの割り当て | 割り当てられたユーザーまたはユーザーを選択します。 |
複数のサービス ソース | フィルターが複数のサービス ソース用かどうかを指定します。 |
サービス/検出ソース | 次の 1 つ以上のアラートを含むインシデントを指定します。 これらのサービスの多くは、メニューで展開して、特定のサービス内の検出ソースの選択肢をさらに明らかにすることができます。 |
Tags | 一覧から 1 つまたは複数のタグ名を選択します。 |
複数のカテゴリ | フィルターが複数のカテゴリ用かどうかを指定します。 |
Categories | カテゴリを選択して、表示される特定の戦術、手法、または攻撃コンポーネントに焦点を当てます。 |
Entities | ユーザー、デバイス、メールボックス、アプリケーション名などの資産の名前を指定します。 |
データの機密性 | 一部の攻撃では、機密データや貴重なデータを排除することを目的としています。 特定の秘密度ラベルにフィルターを適用することで、機密情報が侵害される可能性があるかどうかを迅速に判断し、それらのインシデントに対処する優先順位を付けることができます。 このフィルターは、 Microsoft Purview Information Protection から秘密度ラベルを適用した場合にのみ情報を表示します。 |
デバイス グループ | デバイス グループ名を指定します。 |
OS プラットフォーム | デバイス オペレーティング システムを指定します。 |
分類 | 関連するアラートの分類のセットを指定します。 |
自動調査の状態 | 自動調査の状態を指定します。 |
関連する脅威 | 名前付き脅威を指定します。 |
通知ポリシー | アラート ポリシーのタイトルを指定します。 |
アラート サブスクリプション ID | サブスクリプション ID に基づいてアラートを指定します。 |
既定のフィルターでは、すべてのアラートとインシデントが表示され、状態が [新規 ] と [進行中] で、重大度が [高]、[ 中]、または [ 低] になります。
フィルターの一覧でフィルターの名前で [X] を選択すると、フィルターをすばやく削除できます。
[保存されたフィルター クエリ] > [フィルター セットの作成] を選択して、インシデント ページ内にフィルター セットを作成することもできます。 フィルター セットが作成されていない場合は、[ 保存] を選択して作成します。
注:
Microsoft Defender XDR のお客様は、 Microsoft Defender for IoT と Microsoft Defender for Endpoint のデバイス検出統合を通じて、侵害されたデバイスがエンタープライズ ネットワークに接続されている運用テクノロジ (OT) デバイスと通信するアラートでインシデントをフィルター処理できるようになりました。 これらのインシデントをフィルター処理するには、サービス/検出ソースで [任意 ] を選択し、製品名で [Microsoft Defender for IoT ] を選択するか、 Defender ポータルの Microsoft Defender for IoT でのインシデントとアラートの調査に関するページを参照してください。 デバイス グループを使用して、サイト固有のアラートをフィルター処理することもできます。 Defender for IoT の前提条件の詳細については、「 Microsoft Defender XDR でのエンタープライズ IoT 監視の概要」を参照してください。
カスタム フィルターを URL として保存する
インシデント キューで便利なフィルターを構成したら、ブラウザー タブの URL をブックマークするか、Web ページ、Word 文書、または任意の場所にリンクとして保存できます。 ブックマークを使用すると、次のようなインシデント キューのキー ビューにシングル クリックでアクセスできます。
- 新しいインシデント
- 重大度の高いインシデント
- 割り当てられていないインシデント
- 重大度が高く、割り当てられていないインシデント
- 自分に割り当てられたインシデント
- Microsoft Defender for Endpoint に割り当てられたインシデント
- 特定のタグまたはタグを持つインシデント
- 特定の脅威カテゴリを持つインシデント
- 特定の脅威が関連付けられたインシデント
- 特定のアクターを含むインシデント
便利なフィルター ビューの一覧を URL としてコンパイルして保存したら、それを使用して、キュー内のインシデントをすばやく処理して優先順位を付け、後続の割り当てと分析のために それらを管理 します。
検索
インシデントの一覧の上にある [ 名前または ID の検索 ] ボックスから、さまざまな方法でインシデントを検索して、探しているものをすばやく見つけることができます。
インシデント名または ID で検索する
インシデント ID またはインシデント名を入力して、インシデントを直接検索します。 検索結果の一覧からインシデントを選択すると、Microsoft Defender ポータルでインシデントのプロパティを含む新しいタブが開き、そこから 調査を開始できます。
影響を受けた資産で検索する
ユーザー、デバイス、メールボックス、アプリケーション名、クラウド リソースなどの資産に名前を付け、その資産に関連するすべてのインシデントを見つけることができます。
時間範囲を指定する
インシデントの既定の一覧は、過去 6 か月間に発生したインシデントの一覧です。 予定表アイコンの横にあるドロップダウン ボックスから、次のように選択して、新しい時間範囲を指定できます。
- 1 日
- 3 日間
- 1 週間
- 30 日間
- 30 日間
- 6 か月
- 日付と時刻の両方を指定できるカスタム範囲
次の手順
優先度が最も高いインシデントを決定したら、それを選択し、次の手順に従います。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。