Microsoft Defender for Cloud でセキュリティ アラートの管理と対応を行う

このトピックでは、Defender for Cloud のアラートを表示および処理し、リソースを保護する方法について説明します。

セキュリティ アラートをトリガーする高度な検出は、Microsoft Defender for Cloud の拡張セキュリティ機能が有効になっている場合のみ使用できます。 無料試用版が提供されています。 アップグレードするには、「強化された保護を有効にする」をご覧ください。

セキュリティの警告とは何か

Defender for Cloud は、真の脅威を検出し、偽陽性を減らすために、Azure のリソースやネットワークのほか、接続されているパートナー ソリューション (ファイアウォールやエンドポイント保護ソリューションなど) から、自動的にログ データを収集、分析、統合します。 Defender for Cloud には、優先順位の付いたセキュリティ アラートの一覧が、問題を迅速に調査するために必要な情報、および攻撃を修復するために実行する手順と共に表示されます。

さまざまな種類のアラートについては、「セキュリティ アラート - リファレンス ガイド」をご覧ください。

Defender for Cloud でアラートが生成されるしくみの概要については、Microsoft Defender for Cloud での脅威の検出と対応方法に関する記事を参照してください。

セキュリティ アラートの管理

  1. Microsoft Defender for Cloud の概要ページの上部にある [セキュリティ アラート] タイルまたはサイドバーのリンクを選択します。

    Getting to the security alerts page from Microsoft Defender for Cloud's overview page

    [セキュリティ アラート] ページが開きます。

    Microsoft Defender for Cloud's security alerts list

  2. アラートの一覧をフィルター処理するには、関連するフィルターを選択します。 必要に応じて、 [フィルターの追加] オプションを使用して、さらにフィルターを追加することもできます。

    Adding filters to the alerts view.

    この一覧は、選択したフィルター オプションに応じて更新されます。 フィルター処理はとても有益な機能です。 たとえば、システム内の潜在的な違反を調査するために、過去 24 時間以内に発生したセキュリティの警告を確認することができます。

セキュリティの警告への対応

  1. [セキュリティ アラート] リストから、アラートを選択します。 作業ウィンドウが開き、アラートとその影響を受けたすべてのリソースの説明が表示されます。

    Mini details view of a security alert.

    ヒント

    この作業ウィンドウを開いた状態で、キーボードの上矢印と下矢印を使用して、アラートの一覧をすばやく確認できます。

  2. 詳細については、 [すべての詳細を表示] を選択します。

    セキュリティ アラート ページの左側のウィンドウには、セキュリティ アラートに関する概要情報 (タイトル、重要度、状態、アクティビティ時間、疑わしいアクティビティの説明、影響を受けるリソース) が表示されます。 影響を受けるリソースと共に、リソースに関連する Azure タグがあります。 これらを使用して、アラートを調査するときにリソースの組織コンテキストを推測します。

    右側のペインには、問題の調査に役立つアラートの詳細が含まれている [アラートの詳細] タブがあります。IP アドレス、ファイル、プロセスなど。

    Suggestions for what to do about security alerts.

    また、右側のペインには [アクションの実行] タブがあります。このタブを使用して、セキュリティ アラートに関するその他のアクションを実行します。 次のようなアクションがあります。

    • [リソース コンテキストの検査] - セキュリティ アラートをサポートするリソースのアクティビティ ログに移動します
    • [Mitigate the threat](脅威の軽減) - このセキュリティ アラートに対する手動の修復手順を提供します
    • [Prevent future attacks](将来の攻撃防止) - セキュリティに関する推奨事項を提供して、攻撃対象を減らし、セキュリティ体制を強化し、将来の攻撃を防ぐことができるようにします
    • [Trigger automated response](自動応答のトリガー) - このセキュリティ アラートへの応答としてロジック アプリをトリガーするオプションを提供します
    • [Suppress similar alerts](類似のアラートの抑制) - 組織に関連しないアラートの場合、同様の特性を持つ今後のアラートを抑制するオプションを提供します

    Take action tab.

複数のセキュリティ アラートの状態を一度に変更する

アラートの一覧には、一度に複数のアラートを処理できるように、チェックボックスが表示されます。 たとえば、トリアージのために、特定のリソースのすべての情報案内アラートを破棄できます。

  1. 一括処理するアラートを表示するようにフィルター処理します。

    この例では、リソース 'ASC-AKS-CLOUD-TALK' の重要度が「情報」であるすべてのアラートを選択しています。

    Screenshot of filtering the alerts to the list of those to handle together.

  2. チェックボックスを使用して、処理するアラートを選択します。または、一覧の上部にあるチェックボックスを使用して、すべてを選択します。

    この例では、すべてのアラートを選択しています。 [状態の変更] ボタンが使用可能になったことがわかります。

    Screenshot of selecting all alerts to handle in bulk.

  3. [状態の変更] オプションを使用して、目的の状態を設定します。

現在のページに表示されているアラートの状態が、選択した値に変わります。

関連項目

このドキュメントでは、セキュリティ アラートを表示する方法について説明しました。 関連資料については、次のページを参照してください。