Microsoft Defender ポータルでのインシデントの優先順位付け
Microsoft Defender ポータルの統合セキュリティ運用プラットフォームは、関連付け分析を適用し、関連するアラートと、さまざまな製品からの自動調査をインシデントに集計します。 また、Microsoft Sentinel とDefender XDRは、製品スイート全体の統合プラットフォームでエンドツーエンドの可視性を確保することで、悪意があるとのみ識別できるアクティビティに対する一意のアラートをトリガーします。 このビューは、セキュリティ アナリストに広範な攻撃ストーリーを提供します。これにより、organization全体の複雑な脅威をより適切に理解し、対処するのに役立ちます。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ運用プラットフォームのパブリック プレビューの一部として使用できます。 詳細については、Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。
インシデント キュー
インシデント キューには、デバイス、ユーザー、メールボックス、およびその他のリソース間で作成されたインシデントのコレクションが表示されます。 インシデントを並べ替えて優先順位を付け、情報に基づいたサイバーセキュリティ対応の決定 (インシデントトリアージと呼ばれるプロセス) を作成するのに役立ちます。
ヒント
2024 年 1 月の期間限定で、[ インシデント ] ページにアクセスすると、Defender Boxed が表示されます。 Defender Boxed では、2023 年中のorganizationのセキュリティの成功、機能強化、対応アクションが強調表示されます。 Defender Boxed を再度開くには、Microsoft Defender ポータルで [インシデント] に移動し、[Defender Boxed] を選択します。
インシデント キューには、Microsoft Defender ポータルのクイック 起動で[インシデント & アラート > インシデント]からアクセスできます。 次に例を示します。
[最新のインシデントとアラート] を選択して上部セクションの展開を切り替えます。このグラフには、受信したアラートの数と過去 24 時間に作成されたインシデントの数のタイムライン グラフが表示されます。
その下に、Microsoft Defender ポータルのインシデント キューには、過去 6 か月間に表示されたインシデントが表示されます。 最新のインシデントはリストの一番上に表示されるため、最初に確認できます。 別の時間枠は、上部のドロップダウンから選択することで選択できます。
インシデント キューにはカスタマイズ可能な列 ([ 列のカスタマイズ] を選択) があり、インシデントのさまざまな特性や影響を受けるエンティティを可視化できます。 このフィルター処理は、分析のためのインシデントの優先順位付けに関する情報に基づいた決定を行うのに役立ちます。
インシデント名
一目で見やすくするために、Microsoft Defender XDRは、影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどのアラート属性に基づいて、インシデント名を自動的に生成します。 この特定の名前付けにより、インシデントのスコープをすばやく理解できます。
たとえば、 複数のソースによって報告された複数のエンドポイントに対するマルチステージ インシデント。
Microsoft Sentinel を統合セキュリティ運用プラットフォームにオンボードした場合、Microsoft Sentinel から送信されたアラートとインシデントは、(オンボードの前後に作成されたかどうかに関係なく) 名前が変更される可能性があります。
自動化ルールをトリガーするための条件としてインシデント名を使用しないことをお勧めします。 インシデント名が条件であり、インシデント名が変更された場合、ルールはトリガーされません。
フィルター
インシデント キューには複数のフィルターオプションも用意されています。このオプションを適用すると、環境内のすべての既存のインシデントを広範に実行したり、特定のシナリオや脅威に焦点を当てることを決定したりできます。 インシデント キューにフィルターを適用すると、すぐに注意が必要なインシデントを特定できます。
インシデントの一覧の上にある [フィルター] リストには、現在適用されているフィルターが表示されます。
既定のインシデント キューから [ フィルターの追加] を選択すると、[ フィルターの追加] ドロップダウンが表示され、そこからインシデント キューに適用するフィルターを指定して、表示されるインシデントのセットを制限できます。 次に例を示します。
使用するフィルターを選択し、一覧の下部にある [ 追加] を選択して使用できるようにします。
これで、選択したフィルターが、既存の適用されたフィルターと共に表示されます。 新しいフィルターを選択して、条件を指定します。 たとえば、"サービス/検出ソース" フィルターを選択した場合は、そのフィルターを選択して、一覧をフィルター処理するソースを選択します。
[ フィルター ] ウィンドウは、インシデントの一覧の上にある [フィルター] ボックスの一覧で フィルター のいずれかを選択して表示することもできます。
次の表に、使用可能なフィルター名の一覧を示します。
フィルター名 | 説明/条件 |
---|---|
状態 | [ 新規]、[ 進行中]、または [解決済み] を選択します。 |
アラートの重大度 インシデントの重大度 |
アラートまたはインシデントの重大度は、資産に与える可能性がある影響を示します。 重大度が高いほど影響が大きくなり、通常は最も迅速な注意が必要です。 [ 高]、[ 中]、[ 低]、または [ 情報] を選択します。 |
インシデントの割り当て | 割り当てられたユーザーまたはユーザーを選択します。 |
複数のサービス ソース | フィルターが複数のサービス ソース用かどうかを指定します。 |
サービス/検出ソース | 次の 1 つ以上のアラートを含むインシデントを指定します。 これらのサービスの多くは、メニューで展開して、特定のサービス内の検出ソースの選択肢をさらに明らかにすることができます。 |
Tags | 一覧から 1 つまたは複数のタグ名を選択します。 |
複数のカテゴリ | フィルターが複数のカテゴリ用かどうかを指定します。 |
Categories | カテゴリを選択して、表示される特定の戦術、手法、または攻撃コンポーネントに焦点を当てます。 |
Entities | ユーザー、デバイス、メールボックス、アプリケーション名などの資産の名前を指定します。 |
データの機密性 | 一部の攻撃では、機密データや貴重なデータを排除することを目的としています。 特定の秘密度ラベルにフィルターを適用することで、機密情報が侵害される可能性があるかどうかを迅速に判断し、それらのインシデントに対処する優先順位を付けることができます。 このフィルターは、Microsoft Purview 情報保護から秘密度ラベルを適用した場合にのみ情報を表示します。 |
デバイス グループ | デバイス グループ名を指定します。 |
OS プラットフォーム | デバイス オペレーティング システムを指定します。 |
分類 | 関連するアラートの分類のセットを指定します。 |
自動調査の状態 | 自動調査の状態を指定します。 |
関連する脅威 | 名前付き脅威を指定します。 |
通知ポリシー | アラート ポリシーのタイトルを指定します。 |
既定のフィルターでは、すべてのアラートとインシデントが表示され、状態が [新規 ] と [進行中] で、重大度が [高]、[ 中]、または [ 低] になります。
フィルターの一覧でフィルターの名前で [X] を選択すると、フィルターをすばやく削除できます。
[保存されたフィルター クエリ>] Createフィルター セットを選択して、[インシデント] ページ内にフィルター セットを作成することもできます。 フィルター セットが作成されていない場合は、[ 保存] を選択して作成します。
カスタム フィルターを URL として保存する
インシデント キューで便利なフィルターを構成したら、ブラウザー タブの URL をブックマークするか、Web ページ、Word ドキュメント、または任意の場所にリンクとして保存できます。 ブックマークを使用すると、次のようなインシデント キューのキー ビューにシングル クリックでアクセスできます。
- 新しいインシデント
- 重大度の高いインシデント
- 割り当てられていないインシデント
- 重大度が高く、割り当てられていないインシデント
- 自分に割り当てられたインシデント
- 自分とMicrosoft Defender for Endpointに割り当てられたインシデント
- 特定のタグまたはタグを持つインシデント
- 特定の脅威カテゴリを持つインシデント
- 特定の脅威が関連付けられたインシデント
- 特定のアクターを含むインシデント
便利なフィルター ビューの一覧を URL としてコンパイルして保存したら、それを使用して、キュー内のインシデントをすばやく処理して優先順位を付け、後続の割り当てと分析のために それらを管理 します。
検索
インシデントの一覧の上にある [名前または ID のSearch] ボックスから、さまざまな方法でインシデントを検索して、探しているものをすばやく見つけることができます。
インシデント名または ID によるSearch
インシデント ID またはインシデント名を入力して、インシデントに対して直接Searchします。 検索結果の一覧からインシデントを選択すると、Microsoft Defender ポータルにインシデントのプロパティが表示された新しいタブが開き、そこから調査を開始できます。
影響を受けた資産によるSearch
ユーザー、デバイス、メールボックス、アプリケーション名、クラウド リソースなどの資産に名前を付け、その資産に関連するすべてのインシデントを見つけることができます。
時間範囲を指定する
インシデントの既定の一覧は、過去 6 か月間に発生したインシデントの一覧です。 予定表アイコンの横にあるドロップダウン ボックスから、次のように選択して、新しい時間範囲を指定できます。
- 1 日
- 3 日間
- 1 週間
- 30 日間
- 30 日間
- 6 か月
- 日付と時刻の両方を指定できるカスタム範囲
次の手順
優先度が最も高いインシデントを決定したら、それを選択し、次の手順に従います。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示