セキュリティの警告の管理と対応

操作方法
01/16/2024

Defender for Cloud は、Azure、ハイブリッド、およびマルチクラウドリソース、ネットワーク、接続されているパートナーソリューション (ファイアウォール、エンドポイントエージェントなど) からログデータを収集し、それらを分析、統合します。 Defender for Cloud は、ログデータを使用して実際の脅威を検出し、誤検出を削減します。 Defender for Cloud には、優先順位の付いたセキュリティアラートの一覧が、問題を迅速に調査するために必要な情報、および攻撃を修復するために実行する手順と共に表示されます。

この記事では、Defender for Cloud のアラートを表示および処理し、リソースを保護する方法について説明します。

セキュリティアラートをトリアージするときは、アラートの重要度に基づいて各アラートに優先順位を付け、重要度の高いアラートから対処します。アラートが分類される方法の詳細を確認してください。

ヒント

Microsoft Defender for Cloud を Microsoft Sentinel を含む SIEM ソリューションに接続し、選択したツールからアラートを利用できます。 SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーミングする方法の詳細を確認してください。

前提条件

前提条件と要件については、「Defender for Cloud のサポートマトリックス」を参照してください。

セキュリティアラートの管理

次のステップを実行します。

Azure portal にサインインします。
[Microsoft Defender for Cloud]>[セキュリティアラート] に移動します。
(省略可能) アラート一覧を、関連するフィルターを使用してフィルター処理します。 [フィルターの追加] オプションを使用して、追加フィルターを追加できます。

選択されているフィルターに従って一覧が更新されます。たとえば、システム内の潜在的な違反を調査するために、過去 24 時間以内に発生したセキュリティの警告を確認することができます。

セキュリティアラートの調査

各アラートには、調査に役立つアラートに関する情報が含まれています。

セキュリティアラートを調査するには、次のようにします。

アラートを選択します。作業ウィンドウが開き、アラートとその影響を受けたすべてのリソースの説明が表示されます。
セキュリティアラートに関する概要情報を確認します。
- アラートの重要度、状態、アクティビティの時刻
- 検出された正確なアクティビティの説明
- 影響を受けるリソース
- MITRE ATT&CK マトリックスのアクティビティのキルチェーンの意図 (該当する場合)
[View full details](完全な詳細を表示) を選択します。

右側のペインには、問題の調査に役立つアラートの詳細が含まれている [アラートの詳細] タブがあります。IP アドレス、ファイル、プロセスなど。

また、右側のペインには [アクションの実行] タブがあります。このタブを使用して、セキュリティアラートに関するその他のアクションを実行します。次のようなアクションがあります。
- [リソースコンテキストの検査] - セキュリティアラートをサポートするリソースのアクティビティログに移動します
- [Mitigate the threat](脅威の軽減) - このセキュリティアラートに対する手動の修復手順を提供します
- [Prevent future attacks](将来の攻撃防止) - セキュリティに関する推奨事項を提供して、攻撃対象を減らし、セキュリティ体制を強化し、将来の攻撃を防ぐことができるようにします
- [Trigger automated response](自動応答のトリガー) - このセキュリティアラートへの応答としてロジックアプリをトリガーするオプションを提供します
- [Suppress similar alerts](類似のアラートの抑制) - 組織に関連しないアラートの場合、同様の特性を持つ今後のアラートを抑制するオプションを提供します
詳細については、リソース所有者に連絡して、検出されたアクティビティが擬陽性であるかどうかを確かめます。攻撃されたリソースによって生成された生ログを調査することもできます。

複数のセキュリティアラートの状態を一度に変更する

アラートの一覧には、一度に複数のアラートを処理できるように、チェックボックスが表示されます。たとえば、トリアージのために、特定のリソースのすべての情報案内アラートを破棄できます。

一括処理するアラートを表示するようにフィルター処理します。

この例では、リソース ASC-AKS-CLOUD-TALK、重大度 Informational のアラートが選択されています。
チェックボックスを使用して、処理するアラートを選択します。

この例では、すべてのアラートが選択されています。 [状態の変更] ボタンが使用可能になっています。
[状態の変更] オプションを使用して、目的の状態を設定します。

現在のページに表示されているアラートの状態が、選択した値に変わります。

セキュリティアラートへの対応

セキュリティアラートの調査後、Microsoft Defender for Cloud 内からアラートに対応できます。

セキュリティアラートに対応するには:

[アクションの実行] タブを開いて推奨される対応を確認します。
[Mitigate the threat](脅威の軽減) セクションで、問題の軽減に必要な手作業による調査手順を確認します。
リソースのセキュリティを強化し、今後、この種の攻撃を防止するには、 [Prevent future attacks](将来の攻撃防止) セクションで、セキュリティに関する推奨事項を修正します。
自動化された対応手順でロジックアプリをトリガーする場合は、[自動応答のトリガー] セクションを使用し、[ロジックアプリのトリガー] を選択します。
検出されたアクティビティが悪質 "ではない" 場合は、[類似のアラートの抑制] セクションを使用して、今後はこの種のアラートが表示されないようにして、[抑制ルールの作成] を選択します。
[電子メール通知設定の構成] を選択して、このサブスクリプションのセキュリティアラートに関する電子メールを受信するユーザーを表示します。電子メールの設定を構成するには、サブスクリプション所有者に問い合わせてください。
アラートの調査が完了し、適切に対応したら、その状態を [無視] に変更します。

アラートは主なアラート一覧から削除されます。アラートの一覧ページからフィルターを使用して、 [Dismissed](無視) 状態のアラートをすべて表示することができます。
次のように、アラートについてのフィードバックを Microsoft に提供することをお勧めします。
1. アラートが役に立ったか役に立たなかったかを選択します。
2. 理由を選択し、コメントを追加します。
ヒント

Microsoft は、お客様からのフィードバックを確認してアルゴリズムを改良し、セキュリティアラートの向上に努めています。

さまざまな種類のアラートについては、「セキュリティアラート - リファレンスガイド」をご覧ください。

Defender for Cloud でアラートが生成されるしくみの概要については、Microsoft Defender for Cloud での脅威の検出と対応方法に関する記事を参照してください。

エージェントレススキャンの結果を確認する

エージェントベースとエージェントレススキャナーの両方の結果が、[セキュリティ警告] ページに表示されます。

Note

これらの警告の 1 つを修復しても、次のスキャンが完了するまで、もう一方の警告は修復されません。