XDR インシデント更新プログラムの Defender Experts の理解と管理

  • [アーティクル]

適用対象:

次のセクションでは、 インシデント通知の受信に関して SOC チームが持つ可能性があるダウン質問の一覧を示します。

Microsoft Defender ポータルと Graph Security API

質問 答え
操作方法 Defender Experts アナリストがインシデントに取り組み始めたかどうかを知っていますか? Defender Experts アナリストがインシデントの作業を開始すると、インシデントの [割り当て先 ] フィールドが Defender Experts に更新されます。
操作方法、Defender Experts アナリストがインシデントを解決したかどうかを知っていますか? Defender Experts アナリストがインシデントを解決すると、インシデントの [状態] フィールドが [解決済み] に更新されます。
操作方法、Defender Experts アナリストがインシデントを解決するきっかけとなった結論を知っていますか? Defender Experts アナリストは、インシデントを解決するときに、インシデントの [分類 ] フィールドと [決定 ] フィールドを変更し、[ コメント ] セクションで簡潔な概要を提供します。

インシデントが True Positive として分類されている場合は、Microsoft Defender ポータルの [マネージド応答] ポップアップ パネルに包括的な調査の概要が表示されます。
操作方法、インシデントを調査するときに Defender Experts アナリストがテナントでどのようなアクションを行ったかがわかりますか? 調査するインシデントごとに、Defender Experts アナリストは、テナント内で実行されたアクションを、Microsoft Defender ポータルの [マネージド応答ポップアップ] パネルにあるインシデントの調査の概要に要約します。

また、Microsoft Purview コンプライアンス ポータルまたは Office 365 Management Activity API を使用して監査ログを検索することで、これらのアクションとテナントにサインインした時間に関する情報を取得することもできます。
操作方法、Defender Experts アナリストが SOC チームに対して何らかの応答アクションを送信したかどうかを知っていますか? Defender Experts アナリストは、Microsoft Defender ポータルのインシデントのマネージド応答ポップアップ パネルでインシデントに対して実行するように SOC チームに推奨する応答アクションを公開します。

現時点では、インシデントの [割り当て先 ] フィールドが [顧客 ] に更新され、 その状態[顧客アクションの待機中] に更新されます。

Microsoft Defender ポータルの [設定>] Defender Experts>通知連絡先指定したインシデント連絡先も、注意が必要な応答アクションがある場合は、対応する電子メール通知を受け取ります。また、Microsoft Defender ポータルの [DefenderExperts> Teams の設定]> で設定した場合は、Teams 通知も受け取ります。
調査または対応アクションについて Defender Experts アナリストに質問操作方法? Defender Experts アナリストが、True Positive インシデントのマネージド応答ポップアップ パネルで調査の概要と推奨 される応答 アクションを公開した後、同じパネルの [ チャット ] タブを使用して、インシデントとその調査について Defender エキスパート チームに質問できます。

または、指定されたインシデントの連絡先は、Defender エキスパートから受け取った Teams または電子メール通知に直接応答して、質問をすることができます。
操作方法、保留中の応答アクションを持つインシデントを把握していますか? Microsoft Defender ポータルのホーム ページの Defender Experts カードには、メッセージを表示するリンク (たとえば、アクションを待機している 3 件のインシデント) が含まれています。 このリンクを選択すると、特に注意が必要なインシデントのフィルター処理された一覧が表示されます。

Microsoft Defender ポータルでインシデント キューをフィルター処理するには、[顧客として割り当て済み] または [状態] を [顧客アクションの待機中] として選択します。

Microsoft Sentinel で

質問 答え
Sentinel で Defender Experts の更新プログラムを入手操作方法 Microsoft Defender XDRと Microsoft Sentinel の間でデータ コネクタを有効にした場合、Defender エキスパートがインシデントに対して行った更新が Microsoft Sentinel と同期されます。 詳細情報 を参照してください。

Microsoft Defender XDR インシデントの [割り当て先]、[状態]、および [分類] フィールドは、Sentinel の対応するフィールド (所有者状態および終了理由) にマップされます。
Sentinel で Defender Experts の更新プログラムを取得操作方法、プレイブックを自動的にトリガーしますか? Defender Experts の更新プログラムを取得するには、まず、次の Defender Experts 更新プログラムでトリガーされる自動化ルールを Sentinel で設定します。
  • Microsoft Sentinel の [所有者 ] フィールドが Defender Experts または Customer に更新されたとき。
  • Microsoft Sentinel の [状態] フィールドが [アクティブ] または [クローズ済み] に更新されると、それぞれ [アクティブな状態] と [進行中] のMicrosoft Defender XDRに対応します。
  • Sentinel タグ待機中の顧客アクションが追加されると、これは顧客アクションを待機Microsoft Defender XDR状態に対応します
次に、Microsoft Sentinel でプレイブックを設定して、インシデントの更新プログラムを自動的に同期するか、 インシデント通知を他のアプリに送信します
  • Defender Experts アナリストがインシデントに割り当てられている場合は、電子メール、Teams メッセージ、または Slack メッセージを SOC チームに送信します。
  • Defender Experts がチームの応答アクションを発行するときに、Azure Communications Services または Twilio コネクタを介して SMS または電話を SOC リーダーに送信します。
  • IT Ops チームの Azure DevOps、ServiceNow、Jira、ZenDesk、FreshService、PagerDuty などのアプリでタスクまたはチケットをCreateします。
Sentinel から Defender Experts によって発行されたマネージド応答アクションにアクセスするにはどうすればよいですか? Defender Experts がMicrosoft Defender ポータルでインシデントのマネージド応答アクションを発行すると、[所有者] フィールドが [顧客] に自動的に更新され、Sentinel で [顧客アクションの待機中] タグが使用できるようになります。 これらのフィールドの変更をトリガーとして使用して、Microsoft Defender ポータルで対応するインシデントのマネージド応答パネルを確認できます。

サード パーティの SIEM、SOAR、または ITSM アプリの場合

質問 答え
Microsoft Defender XDRから Defender Experts の更新プログラムを取得操作方法、サードパーティのセキュリティ情報とイベント管理 (SIEM)、セキュリティ オーケストレーション、自動化と応答 (SOAR)、IT サービス管理 (ITSM) アプリに同期しますか? Microsoft Defender XDRから Graph Security API (microsoft.graph.security.incident) を通じて Defender Experts の更新プログラムを取得できます。

同期プロセスを開始するには:
  1. Microsoft Defender XDRのフィールドと目的のアプリケーションの対応するフィールド間のマッピングを確立します。 同期を一方向と双方向のどちらにするかを判断し、他のアプリケーションでサポートされていることを確認します。
  2. 同期統合を開発、テスト、デプロイします。 ほとんどの場合、更新プログラムをチェックするために、1 分ごとにグラフ Security APIを定期的にポーリングすることをお勧めします。
  3. フィールド マッピングが最新の状態であることを定期的に検証します。
Microsoft Defender ポータルで Defender Experts によって発行されたマネージド応答アクションをサード パーティの SIEM、SOAR、または ITSM アプリと同期できますか? Defender Experts がMicrosoft Defender ポータルでインシデントのマネージド応答アクションを公開すると、[割り当て先] フィールドが [顧客] に変更され、[状態] フィールドが [顧客アクションの待機中] に更新されます。 Graph Security APIを使用してこれらのフィールドを同期し、これらの変更をトリガーとして使用して、Microsoft Defender ポータルでマネージド応答アクションを確認できます。

マネージド応答アクションは、今年後半に Graph Security APIで使用できるようになる予定です。この時点で、サードパーティ製アプリと同期できるようになります。

その他の通信サービスでは

質問 答え
メールのMicrosoft Defender XDRから Defender Experts の更新プログラムを入手できますか? Defender Experts アナリストがインシデントに推奨される応答アクションを発行すると、指定されたインシデント連絡先は、Microsoft Defender ポータルの [設定>] Defender Experts>通知連絡先で指定されたメール アドレスに対応する電子メール通知を受け取ります。

さらに、指定したメール アドレスにすべてのインシデント更新プログラムを自動的に送信するように ロジック アプリを構成 できます。
Microsoft Teams のMicrosoft Defender XDRから Defender Experts の更新プログラムを入手できますか? 双方向チャット機能には、Microsoft Defender ポータルのインシデントのマネージド応答ポップアップ パネルからアクセスできます。

さらに、マネージド応答が投稿されると通知を受け取り、Microsoft Teams 内で直接 Defender Experts とリアルタイムのチャット会話を行うことができます。 Teams の設定の詳細
MICROSOFT DEFENDER XDRから SMS または電話の更新プログラムとして、または Slack などのサード パーティの通信サービスで Defender Experts の更新プログラムを入手できますか? Slack、Twilio、Azure Communication Servicesなどの通信サービスから通知を送信するようにロジック アプリを構成できます。

関連項目

管理対象検出と管理対象応答

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします