Microsoft Sentinel でのインシデントの確認と調査

  • [アーティクル]

Microsoft Sentinel には、セキュリティ インシデントの調査に必要な機能一式を備えたケース管理プラットフォームが用意されています。 [インシデントの詳細] ページは調査を実行する際の中心的な場所であり、すべての関連情報、適用できるすべてのツールとタスクが 1 つの画面にまとまっています。

この記事では、[インシデントの詳細] ページで使用できるすべてのパネルとオプションについて説明します。これを利用すると、インシデントと確認と調査を迅速、効果的、効果的にし、平均解決時間 (MTTR) を短縮できます。

以前のバージョンのインシデント調査手順についてはこちらを参照してください。

インシデントとは、特定の調査に関連するすべての証拠の集計を含むケース ファイルです。 分析ルールによって生成された、または独自のアラートを生成するサードパーティのセキュリティ製品からインポートされた個々の証拠 (アラート) に基づいて、各インシデントが作成 (または追加) されます。 インシデントは、アラートに含まれるエンティティだけでなく、アラートのプロパティ (重要度、状態、MITRE ATT&CK の戦術と手法など) を継承します。

前提条件

  • インシデントを調査するには、Microsoft Sentinel レスポンダー ロールの割り当てが必要です。

    詳細については、Microsoft Sentinel のロールに関する記事を参照してください。

  • インシデントを割り当てる必要があるゲスト ユーザーがいる場合は、そのユーザーに Microsoft Entra テナントのディレクトリ閲覧者ロールを割り当てる必要があります。 通常の (ゲスト以外の) ユーザーには、既定でこのロールが割り当てられています。

[インシデント] ページ

  1. Microsoft Sentinel のナビゲーション メニューから、[脅威の管理] の下にある [インシデント] を選びます。

    [インシデント] ページには、未解決のすべてのインシデントに関する基本情報が表示されます。

    • 画面の上部には、未解決のインシデント数 (新規またはアクティブ) と、重要度別の未解決のインシデント数が表示されます。 また、バナーには、グリッド全体、または選んだ複数のインシデントに対して、特定のインシデント以外で実行できるアクションが表示されます。

    • 中央のペインには、インシデント グリッド、一覧の上部にあるフィルター処理コントロールでフィルター処理されたインシデント一覧、特定のインシデントを検索するための検索バーが表示されます。

    • 右側には詳細ウィンドウがあり、中央の一覧で選んだインシデントに関する重要な情報と、そのインシデントに対して特定のアクションを実行するボタンが表示されます。

    Screenshot of view of incident severity.

  2. セキュリティ オペレーション チームは、新しいインシデントに対して基本的なトリアージを実行し、適切な担当者に割り当てるためにオートメーション ルールを設けている場合があります。

    その場合は、インシデント一覧を所有者でフィルター処理して、一覧を自分または自分のチームに割り当てられたインシデントに絞り込みます。 このフィルター処理されたセットは自分個人のワークロードを表します。

    また、自分で基本的なトリアージを実行することもできます。 まず、状態、重要度、製品名など、使用できるフィルター処理条件を指定して、インシデントの一覧をフィルター処理することができます。 詳細については、「インシデントを検索する」を参照してください。

  3. [インシデント] ページの詳細ウィンドウから直接、特定のインシデントをトリアージし、すぐに何らか対応を実行することができます。インシデントの詳細ページを開く必要はありません。

    • Microsoft Defender XDR で Microsoft Defender XDR インシデントを調査する:Microsoft Defender XDR での調査のリンクをクリックし、Defender ポータルで並行インシデントを特定します。 Microsoft Defender XDR でインシデントに加えたすべての変更は、Microsoft Sentinel の同じインシデントに同期されます。

    • 割り当てられたタスクの一覧を開く: タスクが割り当てられているインシデントには、完了したタスクと合計タスクの数、[View full details] (詳細の表示) リンクが表示されます。 このリンクをクリックすると、[インシデント タスク] パネルが開き、このインシデントのタスク一覧が表示されます。

    • ユーザーまたはグループにインシデントの所有権を割り当てるには、[所有者] ドロップダウン リストから選びます。

      Screenshot of assigning incident to user.

      最近選択したユーザーとグループが、図のドロップダウン リストの上部に表示されます。

    • インシデントの状態を更新するには、[状態] ドロップダウン リストから選びます (たとえば、"新規" から "アクティブ" または "クローズ済み" など)。 インシデントをクローズするときは、理由を指定する必要があります。 手順については後述します

    • インシデントの重要度を変更するには、[重要度] ドロップダウン リストから選びます。

    • インシデントを分類するには、タグを追加します。 必要に応じて詳細ウィンドウの一番下までスクロールして、タグを追加する場所を表示します。

    • アクション、アイデア、疑問などを記録するには、コメントを追加します。 必要に応じて詳細ウィンドウの一番下までスクロールして、コメントを追加する場所を表示します。

  4. さらなる修復または軽減アクションが求められるほどの情報が詳細ウィンドウに表示された場合は、詳細ウィンドウの下部にある [アクション] ボタンを選び、以下のいずれかを実行します。

    • 調査する:グラフィカル調査ツールを使って、このインシデント内と他のインシデント全体の両方についてアラート、エンティティ、アクティビティ間の関係を検出します。

    • プレイブックを実行する (プレビュー): このインシデントに対してプレイブックを実行し、特定のエンリッチメント、コラボレーション、対応アクション (SOC エンジニアが用意したものなど) を実行します。

    • オートメーション ルールを作成する: 今後のワークロードを減らすため、または要件の一時的な変更 (侵入テストなど) を考慮して、今後、このようなインシデント (同じ分析ルールで生成されたもの) に対してのみ実行されるオートメーション ルールを作成します。

    • チームを作成する (プレビュー): Microsoft Teams でチームを作成し、複数の部門にまたがる他のユーザーまたはチームと協力してインシデントに対応します。

    Screenshot of menu of actions that can be performed on an incident from the details pane.

  5. インシデントの詳細情報が必要な場合は、詳細ウィンドウで [View full details] (詳細の表示) を選び、インシデントのアラートやエンティティ、似たインシデントの一覧、選ばれた上位の分析情報など、インシデントの詳細を開き、全体を確認します。

この記事の次のセクションを参照して、一般的な調査パスに従い、そのプロセスで表示されるすべての情報と、実行できるすべてのアクションを確認します。

インシデントを詳細に調査する

Microsoft Sentinel にはインシデント調査とケース管理エクスペリエンスの機能一式がそろっているため、インシデントの調査、修復、解決をより迅速かつ効率的に進めることができます。 新しいインシデントの詳細ページは次のとおりです。

Screenshot of incident details page, featuring the overview tab.

適切な地ならしをする

インシデント調査を準備するときに、ワークフローの管理に必要なものを構築します。 インシデント ページ上部のタイトルのすぐ下にあるボタン バーには、次のツールがあります。

Screenshot of the button bar on the incident details page.

  1. [タスク] を選んでこのインシデントに割り当てられているタスクを確認することや、自分のタスクを追加することができます。

    SOC のプロセス標準化を改善するには、インシデント タスクの使い方に関する記事を参照してください。

  2. [アクティビティ ログ] を選ぶと、このインシデントに対して何らかのアクション (オートメーション ルールなど) が既に実行されたかどうか、またコメントがあるかどうかを確認できます。 ここに独自のコメントを追加することもできます。 アクティビティ ログの詳細については後述します

  3. [ログ] を選ぶと、常に完全な空の Log Analytics クエリ ウィンドウがインシデント ページ "内" に表示されます。 関連性の有無にかかわらず、インシデントを離れることなくクエリを作成し、実行できます。 そのため、突然のひらめいたことを深掘りする場合でも、流れが止まることを心配する必要はありません。 そのためにログがあります。

    ログの詳細については後述します

また、[インシデント アクション] ボタンが [概要][エンティティ] の各タブでは反対側に表示されています。 ここでは、先ほど説明した [インシデント] グリッド ページの詳細ウィンドウにある [アクション] ボタンから使用できるものと同じアクションを使用できます。 ただし、左側の詳細パネルで使用できる [調査] はありません。

Screenshot of incident actions button available on incident details page.

[インシデント アクション] ボタンで使用できるアクションをまとめると、次のようになります。

  • プレイブックを実行する: このインシデントに対してプレイブックを実行し、特定のエンリッチメント、コラボレーション、対応アクション (SOC エンジニアが用意したものなど) を実行します。

  • オートメーション ルールを作成する: 今後のワークロードを減らすため、または要件の一時的な変更 (侵入テストなど) を考慮して、今後、このようなインシデント (同じ分析ルールで生成されたもの) に対してのみ実行されるオートメーション ルールを作成します。

  • チームを作成する (プレビュー): Microsoft Teams でチームを作成し、複数の部門にまたがる他のユーザーまたはチームと協力してインシデントに対応します。 このインシデントのチームが既に作成されている場合、このメニュー項目は [チームを開く] と表示されます。

[インシデントの詳細] ページで全体像を把握する

[インシデントの詳細] ページの左側のパネルには、グリッドの右側にある [インシデント] ページに表示されるものと同じインシデントの詳細情報が表示されます。これは以前のバージョンとほとんど変わりません。 他のページでどのタブが表示されていても、このパネルは常に表示されます。 ここから、インシデントの基本情報を確認し、次の方法でドリルダウンできます。

  • [イベント][アラート][ブックマーク] を選ぶと、[ログ] パネルが "インシデント ページ内" に表示されます。 [ログ] パネルには、選んだ 3 つのいずれかのクエリが表示され、インシデントから離れることなくクエリ結果の詳細を確認できます。 ログの詳細についてはこちらを参照してください

  • [エンティティ] のエントリのいずれかを選び、[エンティティ] タブに表示します (ここには、インシデントの最初の 4 つのエンティティのみが表示されます。[すべて表示] を選ぶか、[概要] タブ[エンティティ] ウィジェット、または [エンティティ] タブで残りを確認できます)。[エンティティ] タブ でできることについてはこちらを参照してください

    Screenshot of details panel in incident details page.

[調査] を選んで、インシデントの全要素間の関係を図示するグラフィカル調査ツールでインシデントを開くこともできます。

このパネルを画面の左余白に折りたたむには、[所有者] ドロップダウンの隣にある小さな左向きの二重矢印を選びます。 最小化された状態でも、所有者、状態、重要度を変更できます。

Screenshot of collapsed side panel on incident details page.

[インシデントの詳細] ページの残りの部分は、[概要][エンティティ] の 2 つのタブに分かれています。

[概要] タブには以下のウィジェットがあります。それぞれが調査の重要な目的を表しています。

[エンティティ] タブには、インシデントのエンティティの完全な一覧 (前述した [エンティティ] ウィジェットと同じもの) が表示されます。 ウィジェットでエンティティを選ぶと、この画面が表示され、エンティティ全体のページと同様に、エンティティの詳細情報が表示されます。具体的には、識別情報、アクティビティのタイムライン (インシデント内外の両方)、エンティティに関する詳細な分析情報です (ただし、インシデントに適した概算時間に制限されます)。

インシデントのタイムライン

[Incident timeline] (インシデント タイムライン) ウィジェットには、インシデントのアラートとブックマークのタイムラインが表示されます。これを利用して攻撃者のアクティビティのタイムラインを再構築できます。

アラートとブックマークの一覧を検索したり、重要度、戦術、コンテンツ タイプ (アラートまたはブックマーク) で一覧をフィルター処理したりして、追跡する項目を見つけやすくすることができます。

タイムラインの初期表示では、アラートかブックマークかに関係なく、各項目に関する重要な情報がすぐにわかります。

  • アラートまたはブックマークが作成された日時
  • 項目の種類 (アラートまたはブックマーク)。アイコンと、アイコンにマウス ポインターを置いたときのヒントでわかります。
  • アラートまたはブックマークの名前。項目の最初の行に太字で表示されます。
  • アラートの重要度。左端にあるカラー バンドと、3 部構成であるアラートの "サブタイトル" の 1 つ目に単語形式で示されます。
  • アラート プロバイダー。サブタイトルの 2 つ目の部分にあります。 ブックマークの場合は、ブックマークの作成者です。
  • サブタイトルの 3 つ目の部分には、アイコンとヒントで示されたアラートに関連付けられた MITRE ATT&CK 戦術が表示されます。

アイコンまたは全文が表示されないテキスト要素にマウス ポインターを置くと、そのアイコンまたはテキスト要素の全文を含むヒントが表示されます。 これらのヒントは、ウィジェットの幅は限られているためにテキストが省略表示されるときに便利です。 このスクリーンショットの例を参照してください。

Screenshot of incident timeline display details.

個々のアラートまたはブックマークを選ぶと、その詳細情報が表示されます。

  • [アラートの詳細] には、アラートの重要度と状態、生成した分析ルール、アラートを生成した製品、アラートに記載されたエンティティ、関連付けられた MITRE ATT&CK の戦術と手法、内部のシステム アラート ID が含まれています。

    [システム アラート ID] リンクを選ぶと、アラートをさらに掘り下げ、[ログ] パネルを開き、結果を生成したクエリとアラートをトリガーしたイベントを表示することができます。

  • [ブックマークの詳細] はアラートの詳細とまったく同じではありません。エンティティ、MITRE ATT&CK の戦術と手法、ブックマーク ID は含まれていますが、生の結果とブックマーク作成者の情報も含まれています。

    [ブックマーク ログの表示] リンクを選ぶと、[ログ] パネルが開き、ブックマークとして保存された結果を生成したクエリが表示されます。

    Screenshot of the details of an alert displayed in the incident details page.

インシデント タイムライン ウィジェットからは、アラートとブックマークに対して以下のアクションを実行することもできます。

類似インシデント

セキュリティ運用アナリストとして、インシデントを調査するときは、より大きなコンテキストに注意を払う必要があります。 たとえば、類似する他のインシデントが以前に発生したか、または現在発生しているかどうかを確認する必要があります。

  • 場合により、同時に発生しているインシデントを特定する必要があります。これらは、同じ大規模な攻撃戦略の一部である可能性があります。

  • 過去の類似するインシデントを現在の調査の参照ポイントとして使用するために、場合により、それらのインシデントを特定する必要があります。

  • 多くのコンテキストを提供できる SOC のユーザーを見つけるため、または調査をエスカレートできる先のユーザーを見つけるために、場合により、過去の類似インシデントの所有者を特定する必要があります。

インシデントの詳細ページの [Similar incidents] (類似インシデント) ウィジェットには、現在のインシデントとの類似度が高い他のインシデントが最大で 20 件表示されます。 類似性は Microsoft Sentinel の内部アルゴリズムによって計算され、インシデントは類似性の降順で並べ替えられて表示されます。

Screenshot of the similar incidents display.

インシデント タイムライン ウィジェットと同様に、列幅のために全文が表示されないテキストにマウス ポインターを置くと、全文が表示されます。

類似性は、次の 3 つの基準により決定されます。

  • 類似のエンティティ: インシデントと別のインシデントの両方に同じエンティティが含まれる場合、そのインシデントは別のインシデントに類似していると見なされます。 2 つのインシデントに共通するエンティティが多く含まれるほど、それらのインシデントはより類似していると見なされます。

  • 類似のルール: インシデントと別のインシデントの両方が同じ分析ルールによって作成された場合、そのインシデントは別のインシデントに類似していると見なされます。

  • 類似のアラート詳細: インシデントと別のインシデントが同じタイトル、製品名、カスタム詳細のいずれか、またはこれらのすべてを共有する場合、そのインシデントは別のインシデントに類似していると見なされます。

インシデントが類似インシデントの一覧に表示される理由は、[Similarity reason] (類似の理由) 列に表示されます。 情報アイコンにカーソルを合わせると、共通の項目 (エンティティ、ルール名、または詳細) が表示されます。

Screenshot of pop-up display of similar incident details.

インシデントの類似性は、14 日前からインシデントの最後のアクティビティまで、つまりインシデントの最新アラートの終了時刻までのデータに基づいて計算されます。

インシデントの類似性は、インシデントの詳細ページに移動するたびに再計算されます。そのため、新しいインシデントが作成された場合やインシデントが更新された場合には、結果がセッション間で異なることがあります。

インシデントに関する上位の分析情報を取得する

Microsoft Sentinel のセキュリティ専門家は、インシデントのエンティティに関する重要な質問を自動的に確認するクエリを構築しました。 [インシデントの詳細] ページの右側に表示される [Top insights] (上位の分析情報) ウィジェットで、上位の回答を確認できます。 このウィジェットには、機械学習分析と、セキュリティ専門家のトップ チームのキュレーションの両方に基づく分析情報のコレクションが表示されます。

これらは、[エンティティ] ページに表示されるものと同じ分析情報です。迅速なトリアージと脅威のスコープの把握に役立つように厳選されています。 同じ理由で、インシデント内のすべてのエンティティの分析情報もまとめて表示されるので、起こっていることの全体像を把握できます。

現在、選ばれている上位の分析情報は次のとおりです (この一覧は変わる可能性があります)。

  1. アカウント "別" のアクション。
  2. アカウント "に対する" アクション。
  3. UEBA の分析情報
  4. ユーザーに関連する脅威インジケーター。
  5. ウォッチリストの分析情報 (プレビュー)。
  6. セキュリティ イベント数の異常な多さ。
  7. Windows サインイン アクティビティ。
  8. IP アドレスのリモート接続。
  9. TI が一致する IP アドレスのリモート接続。

これらの分析情報 (現時点ではウォッチリストに関するものを除く) にはリンクが表示されます。これを選ぶと、インシデント ページに表示される [ログ] パネルに基のクエリが表示されます。 ここからクエリの結果をドリルダウンできます。

[Top insights] (上位の分析情報) ウィジェットの概算時間は、インシデントの最も早いアラートの 24 時間前から最新のアラートの時間までです。

インシデントのエンティティを調べる

[エンティティ] ウィジェットには、インシデントのアラートで特定されたすべてのエンティティが表示されます。 これらは、ユーザー、デバイス、アドレス、ファイル、その他の種類など、インシデントで役割を果たしたオブジェクトです。

エンティティ ウィジェットでエンティティ一覧を検索したり、エンティティの種類で一覧をフィルター処理してしたりして、エンティティを見つけやすくすることができます。

Screenshot of the actions you can take on an entity from the overview tab.

特定のエンティティが既知の侵害インジケーターであることを既にわかっている場合は、そのエンティティ行の 3 つのドットを選び、[Add to TI] (TI に追加) を選んでそのエンティティを脅威インテリジェンスに追加します。 (このオプションは、サポートされるエンティティの種類の場合に使用できます)。

特定のエンティティに対して自動応答シーケンスをトリガーする場合は、3 つのドットを選び、[Run playbook (Preview)] (プレイブックの実行 (プレビュー)) を選びます (このオプションは、サポートされるエンティティの種類の場合に使用できます)。

エンティティを選ぶと、そのすべての詳細情報が表示されます。 エンティティを選ぶと、[概要] タブから、[インシデントの詳細] ページの別の部分である [エンティティ] タブに移動します。

[エンティティ] タブ

[エンティティ] タブには、インシデント内のすべてのエンティティの一覧が表示されます。

Screenshot of entities tab in incident details page.

エンティティ ウィジェットと同様に、この一覧もエンティティの種類で検索し、フィルター処理することができます。 ある一覧で適用した検索とフィルターは、もう一方には適用されません。

一覧の行を選ぶと、そのエンティティの情報が右側にあるサイド パネルに表示されます。

エンティティ名がリンクとして表示される場合、エンティティ名を選ぶと、インシデントの調査ページの外部にある詳細なエンティティ ページにリダイレクトされます。 インシデントを離れずにサイド パネルだけを表示するには、エンティティが表示されている一覧の行を選びます。ただし、名前は選びません。

ここでは、概要ページのウィジェットから実行できるものと同じアクションを実行できます。 エンティティ行にある 3 つのドットを選ぶと、プレイブックを実行したり、脅威インテリジェンスにエンティティを追加したりすることができます。

また、サイド パネルの下部にある [View full details] (詳細の表示) の横にあるボタンを選んでこれらのアクションを実行することもできます。 ボタンには [Add to TI] (TI に追加)[Run playbook (Preview)] (プレイブックの実行 (プレビュー))[Entity actions] (エンティティ アクション) のいずれかが表示されます。いずれの場合でも、他の 2 つの選択肢があるメニューが表示されます。

[View full details] (詳細の表示) ボタンを選ぶと、エンティティ全体のページにリダイレクトされます。

サイド パネルには 3 枚のカードがあります。

  • [情報] にはエンティティの識別情報が表示されます。 たとえば、ユーザー アカウント エンティティの場合、ユーザー名、ドメイン名、セキュリティ識別子 (SID)、組織情報、セキュリティ情報などです。IP アドレスの場合は、たとえば位置情報などです。

  • [タイムライン] には、エンティティが表示されるログから収集された、このエンティティを特徴とするアラート、ブックマーク異常と、このエンティティが実行したアクティビティの一覧が含まれています。 このエンティティを特徴とするすべてのアラートは、アラートがこのインシデントに属するかどうかに "関係なく"、この一覧に表示されます。

    インシデントの一部ではないアラートは別の方法で表示されます。シールド アイコンは淡色表示され、重要度を示すカラー バンドが実線ではなく点線になり、アラート行の右側にプラス記号の付いたボタンが表示されます。

    Screenshot of entity timeline in entities tab.

    プラス記号を選んでこのインシデントにアラートを追加します。 アラートがインシデントに追加されると、アラートの他のすべてのエンティティ (まだインシデントの一部でなかったもの) もインシデントに追加されます。 ここで関連するアラートについて "それらの" エンティティのタイムラインを確認すると、さらに調査を広げることができます。

    このタイムラインは過去 7 日間のアラートとアクティビティに限定されています。 さらに遡るには、エンティティ全体のページのタイムラインに切り替えます。ここで概算時間をカスタマイズすることができます。

  • [分析情報] には、Microsoft のセキュリティ研究員が定義したクエリの結果が表示されます。これはソース コレクションのデータに基づいており、エンティティに関する貴重でコンテキストに応じたセキュリティ情報が表示されます。 これらの分析情報には、[Top insights] (上位の分析情報) ウィジェットなどの情報が含まれます。これらは詳細なエンティティ ページに表示されるものと同じですが、限られた概算時間の内容です。インシデントで最も早いアラートの 24 時間前から始まり、最新のアラートの時間で終わります。

    ほとんどの分析情報にはリンクが含まれいます。これを選ぶと [ログ] パネルが開き、分析情報を生成したクエリとその結果が表示されます。

調査に集中する

インシデントにアラートを追加することで、またはインシデントからアラートを削除することで、調査の範囲を拡大または縮小する方法について説明します。

[ログ] のデータの詳細を確認する

調査エクスペリエンスのほぼどこからでも、リンクを選んで、調査のコンテキストに応じた基のクエリを [ログ] パネルに表示することができます。 これらのリンクのいずれかから [ログ] パネルに移動した場合、対応するクエリがクエリ ウィンドウに表示されます。クエリは自動的に実行され、適切な結果が生成されるので、これを調べます。

また、調査時に試したいクエリを思いついたら、コンテキストを維持したまま、いつでも [インシデントの詳細] ページ内の空の [ログ] パネルを呼び出すこともできます。 これを行うには、ページの上部にある [ログ] を選びます。

ただし [ログ] パネルでも、結果を保存したいクエリを実行した場合は、次のようにします。

  1. 結果の中から保存する行の横にあるチェック ボックスをオンにします。 すべての結果を保存するには、列の一番上にあるチェック ボックスをオンにします。

  2. オンにした結果をブックマークとして保存します。 これには、次の 2 つの方法があります。

    • [Add bookmark to the current incident] (ブックマークを現在のインシデントに追加する) を選んでブックマークを作成し、開いているインシデントに追加します。 ブックマークの指示に従ってプロセスを完了します。 完了すると、ブックマークがインシデントのタイムラインに表示されます。

    • インシデントに追加せずにブックマークを作成するには、[ブックマークの追加] を選びます。 ブックマークの指示に従ってプロセスを完了します。 このブックマークは、[Hunting] (ハンティング) ページの [ブックマーク] タブで作成した他のブックマークと共に表示されます。ここから、このインシデントや他のインシデントに追加できます。

  3. ブックマークを作成したら (またはそうしなかった場合は)、[完了] を選んで [ログ] パネルを閉じます。

Screenshot of Logs panel open in incident details page.

インシデントの監査とコメント

インシデントを調査する際、マネジメントへの正確なレポート、そして仕事仲間とのシームレスな連携とコラボレーションを徹底するために、実施する手順をもれなく文書化する必要があります。 また、自動プロセスを含め、他のユーザーがインシデントに対して行ったアクションの記録もしっかり確認することをお勧めします。 Microsoft Sentinel には、その実現を支援する高度な監査とコメントの環境であるアクティビティ ログが用意されています。

また、コメントを使ってインシデントを自動的に強化することもできます。 たとえば、インシデントの発生時に、関連した情報を外部ソース (ファイルにマルウェアが含まれていないか VirusTotal でチェックするなど) から取り込むプレイブックを実行するとき、自分が定義した情報に加え、外部ソースの応答をインシデントのコメントに記録させることができます。

アクティビティ ログは、開いている間でも自動更新されるので、常にリアルタイムで変更を確認できます。 また、アクティビティ ログを開いている間に加えられた変更も通知されます。

アクティビティとコメントのログを表示する場合、または自分のコメントを追加するには、次の手順を実行します。

  1. [インシデントの詳細] ページの上部にある [アクティビティ ログ] を選びます。
  2. ログをフィルター処理してアクティビティのみまたはコメントのみを表示するには、ログの上部にあるフィルター コントロールを選びます。
  3. コメントを追加する場合、[Incident activity log] (インシデント アクティビティ ログ) パネルの下部にあるリッチ テキスト エディターに入力します。
  4. [コメント] を選んでコメントを送信します。 これでログの上部にコメントが表示されます。

Screenshot of viewing and entering comments.

コメントに関する考慮事項

インシデントのコメントを使う際に考慮すべき事項を次に示します。

サポートされる入力:

  • テキスト: Microsoft Sentinel のコメントでは、テキスト入力としてプレーンテキスト、基本的な HTML、Markdown がサポートされます。 コピーしたテキスト、HTML、Markdown をコメント ウィンドウに貼り付けることもできます。

  • リンク: リンクは HTML アンカー タグの形式にする必要があります。パラメーター target="_blank" を含める必要があります。 例:

    <a href="https://www.url.com" target="_blank">link text</a>

    Note

    インシデントにコメントを作成するプレイブックがある場合、コメントの形式が変わったため、それらのコメント内のリンクもこのテンプレートに準拠する必要があります。

  • 画像: 画像へのリンクをコメントに挿入してその画像をインラインで表示できます。ただし、パブリックにアクセスできる場所 (Dropbox、OneDrive、Google ドライブなど) に画像があらかじめホストされている必要があります。 画像をコメントに直接アップロードすることはできません。

サイズの制限:

  • コメントごと: 1 つのコメントが保持できる最大文字数は 30,000 文字です。

  • インシデントごと: 1 つのインシデントが保持できる最大コメント数は 100 件です。

    注意

    Log Analytics の SecurityIncident テーブルにおけるインシデント レコード 1 件のサイズの上限は 64 KB です。 この上限を超えた場合、コメントは (最古のものから) 切り詰められ、[高度な検索] の結果に表示されるコメントに影響する可能性があります。

    インシデント データベース内の実際のインシデント レコードには影響しません。

編集または削除できるユーザー:

  • 編集: コメントを編集するためのアクセス許可が与えられているのは、その作成者だけです。

  • 削除: コメントを削除するためのアクセス許可が与えられているのは、Microsoft Sentinel 共同作成者ロールのユーザーだけです。 コメントの作成者であっても、コメントを削除するにはこのロールが必要です。

調査グラフを使ってインシデントを視覚的に調査する

調査でアラート、エンティティ、それらの間の関係を視覚的かつグラフィカルに表現したい場合は、従来の調査グラフでも前述の多くのことを実行できます。 このグラフの欠点は、コンテキストの切り替え回数が多くなることです。

調査グラフには、次のものがあります。

  • 生データからのビジュアル コンテキスト:ライブのビジュアル グラフには、生データから自動的に抽出されたエンティティのリレーションシップが表示されます。 これにより、さまざまなデータ ソース間の接続を簡単に確認できます。

  • 調査範囲全体の検出:組み込みの探索クエリを使用して調査範囲を拡大し、侵害の全範囲を明らかにします。

  • 組み込みの調査手順:定義済みの探索オプションを使用して、脅威の発生時に適切な質問をするようにします。

調査グラフを使用するには:

  1. インシデントを選択し、 [調査] を選択します。 これにより、調査グラフが表示されます。 グラフには、アラートに直接接続されているエンティティと、さらに接続されている各リソースのイラスト マップが示されます。

    View map.

    重要

    • インシデントを生成した分析ルールまたはブックマークにエンティティ マッピングが含まれている場合にのみ、インシデントを調査できます。 調査グラフでは、元のインシデントにエンティティが含まれている必要があります。

    • 現在、調査グラフは過去 30 日間までのインシデントの調査をサポートしています。

  2. エンティティを選択すると、 [エンティティ] ウィンドウが開き、そのエンティティに関する情報を確認できます。

    View entities in map

  3. 各エンティティの上にカーソルを置くと、エンティティの種類ごとにセキュリティ エクスパートやアナリストによって作成された質問の一覧が表示され、調査を深めることができます。 これらのオプションを探索クエリと呼びます。

    Explore more details

    たとえば、関連するアラートを要求できます。 探索クエリを選択すると、結果として得られたエンティティがグラフに追加されます。 この例では、 [Related alerts](関連するアラート) を選択すると、グラフに次のアラートが返されます。

    Screenshot: view related alerts.

    関連するアラートが点線でエンティティに接続されていることを確認します。

  4. 探索クエリごとに、[イベント]> を選択して、生イベントの結果と、Log Analytics で使用されるクエリを開くオプションを選択できます。

  5. インシデントの理解のために、グラフには平行したタイムラインが表示されます。

    Screenshot: view timeline in map.

  6. タイムライン上にカーソルを移動して、グラフ上のどの項目がどの時点で発生したかを確認します。

    Screenshot: use timeline in map to investigate alerts.'

インシデントを閉じる

特定のインシデントを解決した後 (調査が結論に達した場合など)、インシデントの状態を [Closed](終了) に設定する必要があります。 この場合、インシデントを閉じる理由を指定して、インシデントを分類するよう求められます。 この手順は必須です。 [Select classification](分類を選択) をクリックし、ドロップダウン リストから次のいずれかを選択します。

  • 真陽性 - 疑わしいアクティビティ
  • 無害な陽性 - 不審だが、予期されている
  • 擬陽性 - 間違ったアラート ロジック
  • 擬陽性 - 不適切なデータ
  • [Undetermined](不明)

Screenshot that highlights the classifications available in the Select classification list.

偽陽性と真陽性について詳しくは、「Microsoft Azure Sentinel での偽陽性の処理」を参照してください。

適切な分類を選択した後、 [コメント] フィールドに説明文を追加します。 これは、このインシデントを参照する必要がある場合に役立ちます。 完了したら [適用] をクリックすると、インシデントが閉じられます。

{alt-text}

インシデントを検索する

特定のインシデントをすばやく検索するには、インシデント グリッドの上にある検索ボックスに検索文字列を入力して Enter キーを押し、表示されるインシデントの一覧を適切に変更します。 目的のインシデントが結果に含まれていない場合は、 [高度な検索] オプションを使用して検索を絞り込むことができます。

検索パラメーターを変更するには、 [検索] ボタンを選択し、検索を実行するパラメーターを選択します。

次に例を示します。

Screenshot of the incident search box and button to select basic and/or advanced search options.

既定では、インシデントの検索は、インシデント IDタイトルタグ所有者、および製品名の値に対してのみ実行されます。 検索ペインで、一覧を下にスクロールして検索する他のパラメーターを 1 つ以上選択し、 [適用] を選択して検索パラメーターを更新します。 [既定値として設定] を選択すると、選択されているパラメーターが既定のオプションにリセットされます。

注意

[所有者] フィールドの検索では、名前とメール アドレスの両方がサポートされます。

高度な検索オプションを使用すると、検索動作が次のように変更されます。

検索動作 説明
検索ボタンの色 検索で現在使用されているパラメーターの種類に応じて、検索ボタンの色が変わります。
  • 既定のパラメーターだけが選択されている場合、ボタンは灰色になります。
  • 高度な検索パラメーターなど、異なるパラメーターが選択されるとすぐに、ボタンは青に変ります。
自動更新 高度な検索パラメーターを使用すると、結果の自動更新を選択できなくなります。
エンティティ パラメーター 高度な検索では、すべてのエンティティ パラメーターがサポートされています。 任意のエンティティ パラメーターで検索すると、すべてのエンティティ パラメーターで検索が実行されます。
検索文字列 単語の文字列を検索すると、検索クエリ内のすべての単語が含まれます。 検索文字列では大文字と小文字が区別されます
クロス ワークスペースのサポート クロスワークスペース ビューでは、高度な検索はサポートされていません。
表示される検索結果の数 高度な検索パラメーターを使用している場合、一度に表示される結果は 50 件のみです。

ヒント

探しているインシデントが見つからない場合は、検索パラメーターを削除して検索を広げます。 検索結果の項目が多すぎる場合は、さらにフィルターを追加して結果を絞り込みます。

次のステップ

この記事では、Microsoft Azure Sentinel を使用して、インシデントの調査を開始する方法について学習しました。 詳細については、次を参照してください。