Microsoft Defenderでインシデントを管理する

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR
  • 統合セキュリティ オペレーション センター (SOC) プラットフォームのMicrosoft Defender

インシデント管理は、インシデントの名前付け、割り当て、タグ付けを行い、インシデント ワークフローの時間を最適化し、脅威をより迅速に含めて対処するために重要です。

ヒント

2024 年 1 月の期間限定で、[ インシデント ] ページにアクセスすると、Defender Boxed が表示されます。 Defender Boxed では、2023 年中のorganizationのセキュリティの成功、機能強化、対応アクションが強調表示されます。 Defender Boxed を再度開くには、Microsoft Defender ポータルで [インシデント] に移動し、[Defender Boxed] を選択します。

インシデントは、Microsoft Defender ポータル (security.microsoft.com) のクイック 起動で[インシデント] & アラート > [インシデント] から管理できます。 次に例を示します。

Microsoft Defender ポータルのインシデント キューとサイド リンク バー ウィンドウ内の [インシデントの管理] オプションの強調表示

インシデントを管理する方法を次に示します。

インシデントを管理するには、インシデント用の[インシデントの管理] ウィンドウから行います。 次に例を示します。

Microsoft Defender ポータルの [インシデントの管理] ウィンドウ

このウィンドウは、次の場所にある [ インシデントの管理 ] リンクから表示できます。

  • アラート ストーリー ページ。
  • インシデント キュー内のインシデントの [プロパティ] ウィンドウ。
  • インシデントの概要ページ。
  • [インシデント] ページの右上にある [インシデントの管理] オプション。

あるインシデントから別のインシデントにアラートを移動する場合は、[ アラート ] タブからアラートを移動して、関連するすべてのアラートを含む大小のインシデントを作成することもできます。

インシデント名を編集する

Microsoft Defenderは、影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどのアラート属性に基づいて、自動的に名前を割り当てます。 インシデント名を使用すると、インシデントのスコープをすばやく理解できます。 たとえば、 複数のソースによって報告された複数のエンドポイントに対するマルチステージ インシデント。

インシデント名は、[インシデントの管理] ウィンドウの [インシデント名] フィールドから編集できます。

注:

自動インシデントの名前付け機能のロールアウト前に存在していたインシデントは、その名前を保持します。

インシデントの重大度の割り当てまたは変更

インシデントの重大度は、[インシデントの管理] ウィンドウの [重大度] フィールドから割り当てたり変更したりできます。 インシデントの重大度は、それに関連付けられているアラートの重大度が最も高いものによって決まります。 インシデントの重大度は、高、中、低、または情報に設定できます。

インシデント タグを追加する

共通した特徴を持つインシデントのグループにフラグを設定するなど、インシデントにカスタム タグを追加できます。 こうすることで、特定のタグを含むすべてのインシデントのインシデント キューを後からフィルター処理できます。

入力を開始すると、以前に使用したタグと選択したタグの一覧から選択するオプションが表示されます。

インシデントを割り当てる

[ 割り当て先 ] ボックスを選択し、インシデントを割り当てるユーザー アカウントを指定できます。 インシデントを再割り当てするには、アカウント名の横にある [x] を選択して現在の割り当てアカウントを削除し、[ 割り当て先 ] ボックスを選択します。 インシデントの所有権を割り当てると、それに関連付けられているすべてのアラートに同じ所有権が割り当てられます。

インシデント キューをフィルター処理することで、割り当てられたインシデントの一覧を取得できます。

  1. インシデント キューから [フィルター] を選択 します
  2. [ インシデントの割り当て ] セクションで、[ すべて選択] をオフにします。 [ 自分に割り当て]、[ 別のユーザーに割り当て]、または [ ユーザー グループに割り当て] を選択します
  3. [ 適用] を選択し、[ フィルター ] ウィンドウを閉じます。

その後、ブラウザーに結果の URL をブックマークとして保存して、割り当てられたインシデントの一覧をすばやく表示できます。

インシデントを解決する

インシデントの修復時にトグルを右に移動するには、[ インシデントの解決 ] を選択します。 インシデントを解決すると、インシデントに関連するすべてのリンクされたアクティブなアラートも解決されます。

解決されていないインシデントは、 アクティブとして表示されます。

分類を指定する

[ 分類 ] フィールドで、インシデントが次の場合を指定します。

  • 設定されていません (既定値)。
  • 脅威 の種類を持つ真陽性。 この分類は、実際の脅威を正確に示すインシデントに使用します。 脅威の種類を指定すると、セキュリティ チームは脅威パターンを確認し、組織を防御するために行動できます。
  • アクティビティの種類を持つ情報に関する、予期されるアクティビティ。 このカテゴリのオプションを使用して、セキュリティ テスト、赤いチーム アクティビティ、および信頼されたアプリとユーザーからの予期される異常な動作のインシデントを分類します。
  • 特定したインシデントの種類に対する誤検知は、技術的に不正確または誤解を招くため無視できます。

インシデントを分類し、その状態と種類を指定すると、Microsoft Defender XDRの調整に役立ち、時間の経過に伴う検出の判断が向上します。

コメントを追加する

[コメント] フィールドを使用して、インシデントに複数の コメント を追加できます。 コメント フィールドは、テキストと書式設定、リンク、および画像をサポートします。 各コメントは 30,000 文字に制限されています。

すべてのコメントは、インシデントの履歴イベントに追加されます。 インシデントのコメントと履歴は、[概要] ページの [コメントと履歴] リンクから確認できます。

アクティビティ ログ

アクティビティ ログには、インシデントに対して実行されたすべてのコメントとアクション (監査とコメント) の一覧が表示されます。 インシデントに加えられたすべての変更は、ユーザーまたはシステムによって行われ、アクティビティ ログに記録されます。 アクティビティ ログは、インシデント ページまたはインシデント側ウィンドウの [アクティビティ ログ ] オプションから使用できます。

Microsoft Defender ポータルのインシデント ページからアクティビティ ログ オプションを強調表示する

ログ内のアクティビティをコメントとアクションでフィルター処理できます。 [ コンテンツ: 監査]、[コメント ] の順にクリックし、アクティビティをフィルター処理するコンテンツ タイプを選択します。 次に例を示します。

Microsoft Defender ポータルのインシデント ページからアクティビティ ログ ウィンドウ内のフィルター オプションを強調表示する

アクティビティ ログ内で使用できるコメント ボックスを使用して、独自のコメントを追加することもできます。 コメント ボックスは、テキストと書式設定、リンク、および画像を受け入れます。

Microsoft Defender ポータルのインシデント ページからコメント ボックスを強調表示する

インシデント データを PDF にエクスポートする

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

現在、エクスポート インシデント データ機能は、セキュリティ ライセンス用の Microsoft Copilot を使用する統合セキュリティ オペレーション センター (SOC) プラットフォームのお客様Microsoft Defender XDRおよびMicrosoft Defenderで利用できます。

インシデントのデータを PDF 形式でエクスポートするには、[インシデントを PDF としてエクスポート ] 関数を使用して PDF に保存します。 この関数を使用すると、セキュリティ チームは、インシデントの詳細をいつでもオフラインで確認できます。

エクスポートされたインシデント データには、次の情報が含まれます。

エクスポートされた PDF の例を次に示します。

エクスポートされた PDF の最初のページのスクリーンショット。

Copilot for Security ライセンスをお持ちの場合、エクスポートされた PDF には次の追加のインシデント データが含まれます。

PDF へのエクスポート機能は、生成されたインシデント レポートの Copilot 側パネルでも使用できます。

インシデント レポートの結果カードの追加アクションのスクリーンショット。

PDF を生成するには、次の手順を実行します。

  1. インシデント ページを開きます。 右上隅にある [ その他のアクション ] 省略記号 (...) を選択し、[ インシデントを PDF としてエクスポート] を選択します。 PDF の生成中に関数が淡色表示されます。

    [インシデントを PDF にエクスポート] オプションを強調表示しているスクリーンショット。

  2. PDF が生成されていることを示すダイアログ ボックスが表示されます。 [ 取得 ] を選択してダイアログ ボックスを閉じます。 さらに、ダウンロードの現在の状態を示すステータス メッセージがインシデント タイトルの下に表示されます。 エクスポート プロセスは、インシデントの複雑さとエクスポートするデータの量によっては数分かかる場合があります。

    ダウンロード前にエクスポート メッセージと状態が強調表示されているスクリーンショット。

  3. PDF の準備が整うと、状態メッセージは PDF の準備が完了し、別のダイアログ ボックスが表示されることを示します。 ダイアログ ボックスから [ ダウンロード ] を選択して、PDF をデバイスに保存します。

    ダウンロードが利用可能な場合のエクスポート メッセージと状態を強調表示しているスクリーンショット。

レポートは数分キャッシュされます。 短い期間内に同じインシデントを再度エクスポートしようとすると、以前に生成された PDF が提供されます。 新しいバージョンの PDF を生成するには、キャッシュの有効期限が切れるまで数分待ちます。

次の手順

新しいインシデントの場合は、 調査を開始します。

インプロセス インシデントの場合は、 調査を続行します。

解決されたインシデントの場合は、 インシデント後のレビューを実行します。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします