インシデントの管理

  • 8 分

Microsoft Defender XDR によって、ドメイン間の脅威の関連付けと、脅威の調査という目的に適したポータルが提供されます。 インシデントは、ネットワーク上で悪意のあるイベントやアクティビティが検出されたときに作成される関連アラートに基づいています。 個々のアラートによって、進行中の攻撃に関する有益な手掛かりが提供されます。 しかし、攻撃には通常、侵害を仕掛けるためのさまざまなベクトルと手法が採用されています。 個々の手掛かりを繋ぎ合わせるのは難しく、時間がかかることがあります。

この短い動画では、Microsoft Defender XDR のインシデントの概要を示します。

インシデントは、攻撃のストーリーを構成する相関アラートのコレクションです。 Microsoft Defender XDR では、ネットワーク内のさまざまなデバイス、ユーザー、メールボックス エンティティで検出された、悪意のある、疑わしいイベントが自動的に集約されます。 関連アラートを 1 つのインシデントにまとめることにより、セキュリティ防御者に、攻撃の包括的なビューが提供されます。

たとえば、攻撃が開始された場所、使用された戦術、および攻撃がネットワークにどの程度侵入しているかを確認できます。 セキュリティ防御者は、攻撃の範囲を確認することもできます。 たとえば、影響を受けたデバイス、ユーザー、およびメールボックスの数、その影響の深刻度、影響を受けたエンティティに関するその他の詳細などです。

Microsoft Defender XDR は、自動化と人工知能を通じて個々のアラートを自動的に調査し、解決することができます (有効にした場合)。 また、セキュリティ防御者は、インシデント ビューから攻撃を直接解決するために、より多くの修復手順を実行できます。

過去 30 日間のインシデントは、インシデント キューに表示されます。 ここから、リスク レベルやその他の要因に基づいて優先順位を付ける必要があるインシデントを確認できます。

また、セキュリティ防御者は、インシデントの名前を変更したり、個々のアナリストに割り当てたり、分類したり、インシデントにタグを追加したりして、より高度でカスタマイズされたインシデント管理エクスペリエンスを実現できます。

インシデントの優先順位を付ける

Microsoft Defender XDR を使うと、関連付け分析が適用され、さまざまな製品からの関連アラートおよび調査結果が 1 つのインシデントに集約されます。 また、Microsoft Defender XDR は、資産全体および製品スイート全体にわたってエンド ツー エンドの可視性を備えているため、悪意のあるものとしか識別できないアクティビティに対して、Microsoft Defender XDR により独自のアラートがトリガーされます。 このビューでは、セキュリティ運用アナリストに対して広範な攻撃ストーリーが提供されます。これにより、組織全体の複雑な脅威をより的確に把握し、それに対処することができます。

インシデント キューには、デバイス、ユーザー、およびメールボックスからの、フラグが設定されたインシデントのコレクションが表示されます。 これは、インシデントを並べ替えて優先順位を設定し、情報に基づくサイバーセキュリティ対応の決定を打ち出すのに役立ちます。

Screen shot of the Microsoft Defender XDR Incident Queue.

既定では、Microsoft Defender ポータルのキューには、過去 30 日間に発生したインシデントが表示されます。 最新のインシデントは、最初に確認できるように、一覧の一番上にあります。

インシデント キュー には、インシデントまたは含まれているエンティティのさまざまな特性を可視化する、カスタマイズ可能な列が表示されます。 こういったより深い情報は、処理するインシデントの優先順位付けに関して、情報に基づいた意思決定を行うのに役立ちます。

よりわかりやすくするために、インシデントの自動名前付けでは、影響を受けるエンドポイントの数、影響を受けるユーザー、検出のソース、またはカテゴリなどのアラート属性に基づいてインシデント名が生成されます。 自動名前付けにより、インシデントの範囲をすばやく把握できます。

使用可能なフィルター

状態

表示されるインシデントの一覧をその状態に基づいて制限して、アクティブまたは解決済みのものを確認できます。

Severity

インシデントの重大度は、資産に及ぼす影響を示しています。 重大度が高いほど影響が大きくなり、通常は、最も迅速な対処を必要とします。

インシデントの割り当て

自分に割り当てられたアラートや、自動化によって処理されたアラートを表示するように選択できます。

複数のサービス ソース

[いいえ] (既定値) または [はい] を選択して有効にします。

サービス ソース

フィルター処理を行って、さまざまなソースからのアラートを含むインシデントのみを表示します。 ソースには、Microsoft Defender for Endpoint、Microsoft Cloud App Security、Microsoft Defender for Identity、Microsoft Defender for Office 365 が含まれます。

タグ

割り当てられたタグをフィルター処理します。 [タグ名の種類] フィールドを選択すると、割り当てられたタグが表示されます。

複数のカテゴリ

複数のカテゴリにマップされているため、より多くの損害を招く可能性があるインシデントだけを表示するように選択できます。

Categories (カテゴリ)

カテゴリを選択して、検出された特定の戦術、手法、または攻撃の要素だけを表示します。

エンティティ

エンティティ名または ID でフィルター処理します。

データの機密性

一部の攻撃では、機密または重要なデータを抜き取ることをターゲットとして焦点を当てています。 インシデントに機密データが含まれているかどうかを確認するフィルターを適用することにより、機密情報が侵害された可能性があるかどうかをすばやく判断できます。 また、侵害が見つかった場合は、それらのインシデントへの対応を優先度付けできます。 このフィルター処理機能は、Microsoft Purview Information Protection が有効になっている場合にのみ適用されます。

デバイス グループ

定義済みのデバイス グループでフィルター処理します。

OS プラットフォーム

オペレーティング システム別に、インシデント キューのビューを制限します。

分類

設定されている関連アラートの分類に基づいてインシデントをフィルター処理します。 値には、true アラート、false アラート、未設定があります。

自動調査の状態

自動調査の状態でインシデントをフィルター処理します。

関連する脅威

[関連する脅威の種類] フィールドを選択すると、脅威情報を入力し、以前の検索条件を表示できます。

インシデントのプレビュー

ポータル ページでは、リストに関連するほとんどのデータのプレビュー情報が提供されます。

このスクリーンショットでは、強調表示された 3 つの領域は、円、大なり記号、および実際のリンクです。

Screen shot of Incident Preview information options.

円を選択すると、ページの右側に詳細ウィンドウが表示され、行項目のプレビューが表示され、情報のページ全体を開くオプションが表示されます。

Screen shot of Incidents details window.

大なり記号

表示できる関連レコードがある場合、大なり記号を選択すると、そのレコードが現在のレコードの下に表示されます。

Screen shot of Related Incident records.

リンク

リンクを使用すると、行項目の詳細ページに移動します。

インシデントの管理

インシデントの管理は、脅威を確実に抑制して対処するうえで重要です。 Microsoft Defender XDR では、デバイス、ユーザー、メールボックスのインシデントの管理にアクセスできます。 インシデント キューからインシデントを選択すると、インシデントを管理できます。

インシデントの名前を編集して解決し、その分類と決定を設定できます。 インシデントを自分に割り当てたり、インシデント タグやコメントを追加したりすることもできます。

調査中にインシデント間でアラートを移動する場合は、[アラート] タブから行うこともできます。[アラート] タブを使用して、関連するすべてのアラートを含む、より大規模な、または小規模なインシデントを作成できます。

インシデント名の編集

インシデントには、影響を受けるエンドポイントの数、影響を受けるユーザー、検出元、カテゴリなどのアラート属性に基づいて、自動的に名前が割り当てられます。 アラート属性に基づく名前付けでは、インシデントの範囲をすばやく把握できます。 インシデント名は、任意の名前付け規則に合わせて変更できます。

インシデントを割り当てる

インシデントがまだ割り当てられていない場合は、[自分への割り当て] を選択して、インシデントを自分に割り当てることができます。 これにより、インシデントだけでなく、それに関連付けられたすべてのアラートの所有権が付与されます。

状態と分類を設定する

インシデントの状態

調査の進行に応じて状態を変更することにより、インシデントを (アクティブまたは解決済みに) 分類することができます。 このように状態を更新する機能は、チームがインシデントにどのように対応できるかを整理および管理するのに役立ちます。

たとえば、SOC アナリストは、その日の緊急のアクティブ インシデントを確認し、調査するために自分自身に割り当てることを決定できます。

また、インシデントが修復済みの場合、SOC アナリストはインシデントを解決済みとして設定することもできます。 インシデントを解決すると、そのインシデントに含まれるすべてのオープン アラートが自動的に閉じられます。

分類と決定

分類を設定しないようにしたり、インシデントが true アラートまたは false アラートのどちらであるかを指定したりすることもできます。 そうすることで、チームはパターンを確認し、そこから学ぶことが容易になります。

コメントの追加

コメントを追加したり、インシデントに関するイベント履歴を表示して、過去に行われた変更を確認したりすることができます。

アラートが変更されたり、コメントが追加されると、[コメントおよび履歴] セクションに記録されます。

追加されたコメントは、直ちにウィンドウに表示されます。

インシデント タグの追加

たとえば、インシデントにカスタム タグを追加して、共通の特性を持つインシデントのグループにフラグを設定することができます。 後で、特定のタグを含むすべてのインシデントのインシデント キューをフィルター処理できます。