Defender ポータルでのMicrosoft Defender XDRとMicrosoft Sentinelのマルチテナント管理により、セキュリティ オペレーション センター (SOC) アナリストは、複数のテナントとワークスペースのデータに 1 か所でアクセスして分析できるため、脅威をすばやく特定して対応できます。 Microsoft Sentinel ワークスペースを Defender プラットフォームにオンボードしたテナントのセキュリティ情報とイベント管理 (SIEM) データと拡張検出と応答 (XDR) データにわたるインシデントとアラートをトリアージします。
[インシデント] & アラートで、複数のテナントとワークスペースから発生した アラート & インシデントを管理します。
インシデントの表示と調査
インシデントを表示または調査するには:
マルチテナント管理の [インシデント] ページMicrosoft Defender移動します。 [ テナント名 ] 列と [ワークスペース] 列には、 インシデントが発生元のテナントが表示されます。
![[マルチテナント インシデントのMicrosoft Defender] ページのスクリーンショット。](media/mto-incidents-alerts/mto-incidents.png)
表示するインシデントを選択します。 ポップアップが開き、インシデントの詳細ウィンドウが開きます。ここで、次のことができます。
- [インシデント ページを開く] を選択して、Microsoft Defender ポータルの特定のテナントの新しいタブでこのインシデントを表示します。
- [ インシデントの管理 ] を選択してインシデントを割り当て、インシデント タグを設定し、インシデントの状態を設定し、インシデントを分類します。
![[マルチテナント インシデントのMicrosoft Defender] ページのスクリーンショット。](media/mto-incidents-alerts/mto-incidents.png#lightbox)
詳細については、「 インシデントの調査」を参照してください。
複数のインシデントを管理する
複数のテナントとワークスペース間でインシデントを管理するには:
マルチテナント管理の [インシデント] ページMicrosoft Defender移動します。
インシデントの一覧から管理するインシデントを選択し、[ インシデントの管理] を選択します。
![マルチテナント管理の [インシデント] ページの [インシデントの管理] オプションMicrosoft Defender強調表示されているスクリーンショット。](media/mto-incidents-alerts/mto-manage-incidents.png)
![マルチテナント管理の [インシデント] ページの [インシデントの管理] オプションMicrosoft Defender強調表示されているスクリーンショット。](media/mto-incidents-alerts/mto-manage-incidents.png#lightbox)
[インシデント] ポップアップ ウィンドウでは、インシデントの割り当て、インシデント タグの割り当て、インシデントの状態の設定、複数のテナントの複数のインシデントの同時分類を行うことができます。
注:
現時点では、同じテナントから複数のインシデントのみを割り当てることができます。
Microsoft Defender ポータルでのインシデントの詳細については、「インシデントの管理」を参照してください。
アラートの表示と調査
アラートを表示または調査するには:
マルチテナント管理の [アラート] ページ に移動し、表示するアラートを選択します。 ポップアップ パネルが開き、アラートの詳細ページが表示されます。
アラートの詳細ウィンドウから、次のことができます。
- [アラートの開く] ページ、[アラートを別のインシデントに移動する]、および [アラートの調整] などのアクションを選択して、Microsoft Defender ポータルの特定のテナントの新しいタブでこのアラートを表示します。
- [ アラートの管理 ] を選択してアラートを割り当て、アラートの状態を設定し、アラートを分類します。
詳細については、「アラートの 調査」を参照してください。
複数のアラートを管理する
複数のテナントとワークスペース間でアラートを管理するには:
マルチテナント管理の [アラート] ページMicrosoft Defender移動します。
アラートの一覧から管理するアラートを選択し、[ アラートの管理] を選択します。
![マルチテナント管理で選択したアラートの [アラートの管理] オプションMicrosoft Defender強調表示されているスクリーンショット。](media/mto-incidents-alerts/mto-manage-alerts.png)
![マルチテナント管理で選択したアラートの [アラートの管理] オプションMicrosoft Defender強調表示されているスクリーンショット。](media/mto-incidents-alerts/mto-manage-alerts.png#lightbox)
[アラートの管理] ウィンドウを使用して、アラートの状態の設定、アラートの割り当て、分類の設定、複数のアラートのコメントの同時追加を行います。 アラートの状態、分類、およびコメントはテナント間で追加できますが、アラートの割り当ては同じテナントからのアラートに対してのみ行うことができます。
詳細については、「アラートの 管理」を参照してください。
アラートの移動
関連するセキュリティ イベントをより適切に整理して関連付けるために、アラートを別のインシデントに移動します。 たとえば、複数のアラートが同じセキュリティ侵害の一部であり、それらすべてを同じインシデントに含める必要がある場合があります。 これにより、すべての関連情報がグループ化され、より効率的な調査と対応が可能になります。
1 つ以上のアラートを移動するには:
- [アラート] ページで、1 つ以上のアラートを選択し、[アラートの移動] を選択します
- アラートの詳細ウィンドウまたはアラートの詳細ページで、[アラートを別のインシデントに移動する] を選択します
[ アラートを別のインシデントに移動 する] ウィンドウで、新しいインシデントを作成するか、既存のインシデントを使用するかを定義します。 既存のインシデントを使用する場合は、名前または ID でインシデントを検索し、変更の理由を追加します。 いずれの場合も、[保存] を選択する前に、変更を説明するコメントを追加 します。