Microsoft Defender ポータルでは、関連するアラートのコレクションであるセキュリティ インシデントに対応し、攻撃の完全なストーリーを伝えることができます。
この記事では、Microsoft Defender ポータルでセキュリティ インシデントを調査、分析、解決するための一連の手順について説明し、これらの手順をセキュリティ チームのエクスペリエンス レベルとロールにマップします。
Microsoft Defender ポータルでのインシデント対応ワークフローの例
Microsoft Defender ポータルでインシデントに対応するためのワークフローの例を次に示します。
継続的に、インシデント キュー内で、分析と解決優先度が最も高いインシデントを特定し、対応の準備をします。 これは、次を組み合わせたものです:
- インシデント キューのフィルター処理と並べ替えによって、最も優先度の高いインシデントを決定するためのトリアージ。
- タイトルを変更し、アナリストに割り当て、タグとコメントを追加することで、インシデントを管理します。
Microsoft Sentinel自動化ルールを使用すると、インシデントの作成時にインシデントを自動的にトリアージおよび管理 (さらには対応) でき、最も処理しやすいインシデントがキュー内の領域を占有しないようにすることができます。
独自のインシデント対応ワークフローについては、次の手順を検討してください。
| ステージ | 手順 |
|---|---|
| インシデントごとに、 攻撃とアラートの調査と分析を開始します。 | - インシデントの攻撃ストーリーを表示して、そのスコープ、重大度、検出ソース、影響を受ける資産エンティティを把握します。 - インシデント内のアラート ストーリーを使用して、アラートの配信元、スコープ、重大度を理解するためにアラートの分析を開始します。 - 必要に応じて、影響を受けたデバイス、ユーザー、メールボックスに関する情報をグラフで収集します。 任意のエンティティを選択して、すべての詳細を含むポップアップを開きます。 エンティティ ページに進み、より多くの分析情報を得ることができます。 - Microsoft Defender XDRが [調査] タブで一部のアラートを自動的に解決した方法を確認します。 - 必要に応じて、[ 証拠と応答 ] タブでインシデントのデータ セットの情報を使用して詳細を確認します。 |
| 分析後または分析中に、封じ込めを実行して、攻撃やセキュリティ上の追加の影響を軽減し、脅威を根絶する。 | たとえば、侵害されたユーザーを無効にする - 影響を受けたデバイスを分離する - 敵対的な IP アドレスをブロックします。 |
| 可能な限り、テナント リソースをインシデントの前の状態に復元して攻撃から回復する。 | |
| インシデントを解決し、結果を文書化します。 | インシデント後の学習に時間がかかる: - 攻撃の種類とその影響を理解します。 - 脅威分析 の攻撃とセキュリティ コミュニティで、セキュリティ攻撃の傾向を調査します。 - インシデントを解決し、必要に応じて標準のワークフロー、プロセス、ポリシー、プレイブックを更新するために使用したワークフローをリコールします。 - セキュリティ構成の変更が必要かどうかを判断し、実装します。 |
セキュリティ分析を初めて使用する場合は、 最初のインシデントへの対応の概要 に関するページを参照して、追加情報を確認し、インシデントの例をステップ実行してください。
Microsoft 製品全体のインシデント対応の詳細については、「 インシデント対応の概要」を参照してください。
初期インシデント管理タスクを計画する
エクスペリエンス レベル
セキュリティ分析とインシデント対応に関するエクスペリエンスのレベルについては、次の表に従ってください。
| レベル | 手順 |
|---|---|
| New | - 攻撃の例を使用して、Microsoft Defender ポータルで分析、修復、インシデント後レビューの一般的なプロセスのガイド付きツアーを取得するには、最初のインシデントへの対応に関するチュートリアルを参照してください。 - 重大度やその他の要因に基づいて 優先順位を付 ける必要があるインシデントを確認します。 - インシデント管理ワークフローに基づいて、名前の変更、割り当て、分類、タグとコメントの追加を含むインシデントを管理します。 |
| 経験豊かな | - Microsoft Defender ポータルの [インシデント] ページからインシデント キューの使用を開始します。 グループ プロフィールでは次の操作ができます。 - 重大度やその他の要因に基づいて 優先順位を付 ける必要があるインシデントを確認します。 - インシデント管理ワークフローに基づいて、名前の変更、割り当て、分類、タグとコメントの追加を含むインシデントを管理します。 - インシデント の調査を 実行します。 - 脅威分析を使用して、新たな脅威を追跡して対応します。 - 高度な脅威ハンティングを使用して、脅威を事前に検索します。 - フィッシング、パスワード スプレー、アプリの同意許可攻撃に関する詳細なガイダンスについては、これらの インシデント対応プレイブック を参照してください。 |
セキュリティ チームの役割
セキュリティ チームの役割に基づいて、次の表に従います。
| 役割 | 手順 |
|---|---|
| インシデント レスポンダー (階層 1) | Microsoft Defender ポータルの [インシデント] ページからインシデント キューの使用を開始します。 ここから、重大度やその他の要因に基づいて 優先順位を付 ける必要があるインシデントを確認できます。 - インシデント管理ワークフローに基づいて、名前の変更、割り当て、分類、タグとコメントの追加を含むインシデントを管理します。 |
| セキュリティ調査員またはアナリスト (階層 2) | - Microsoft Defender ポータルの [インシデント] ページからインシデントの調査を実行します。 - フィッシング、パスワード スプレー、アプリの同意許可攻撃に関する詳細なガイダンスについては、これらの インシデント対応プレイブック を参照してください。 |
| 高度なセキュリティ アナリストまたは脅威ハンター (階層 3) | - Microsoft Defender ポータルの [インシデント] ページからインシデントの調査を実行します。 - 脅威分析を使用して、新たな脅威を追跡して対応します。 - 高度な脅威ハンティングを使用して、脅威を事前に検索します。 - フィッシング、パスワード スプレー、アプリの同意許可攻撃に関する詳細なガイダンスについては、これらの インシデント対応プレイブック を参照してください。 |
| SOC マネージャー | Microsoft Defender XDRを Security Operations Center (SOC) に統合する方法を参照してください。 |
関連項目
Defender ポータルでのアラートの関連付けとインシデントのマージの詳細については、Microsoft Defender XDRのアラート、インシデント、および相関関係に関するページを参照してください。