Azure Security Center でのセキュリティ インシデントの管理Manage security incidents in Azure Security Center

セキュリティ アラートのトリアージと調査は、熟練のセキュリティ アナリストでさえ長時間を要することのある作業です。Triaging and investigating security alerts can be time consuming for even the most skilled security analysts. 多くのユーザーにとっては、どこから始めればよいかを判断することも困難です。For many, it's hard to know where to begin.

Security Center では、分析を使用して個別のセキュリティ アラート間の情報を接続します。Security Center uses analytics to connect the information between distinct security alerts. これらの接続を使用することで、Security Center では攻撃者の行動や影響を受けるリソースを理解するのに役立つ、攻撃活動とその関連アラートの単一ビューを作成します。Using these connections, Security Center can provide a single view of an attack campaign and its related alerts to help you understand the attacker's actions and the affected resources.

このページでは、Security Center のインシデントの概要について説明します。This page provides an overview of incidents in Security Center.

セキュリティ インシデントとはWhat is a security incident?

Security Center でのセキュリティ インシデントとは、 キル チェーン のパターンに一致するリソースに関するすべての警告を集約したものです。In Security Center, a security incident is an aggregation of all alerts for a resource that align with kill chain patterns. インシデントは [セキュリティ アラート] ページの一覧に表示されます。Incidents appear in the Security alerts page. インシデントを選択すると、関連するアラートと詳細情報が表示されます。Select an incident to view the related alerts and get more information.

セキュリティ インシデントの管理Managing security incidents

  1. Security Center の概要ページで、 [セキュリティ アラート] タイルを選択します。On the Security Center overview page, select the Security alerts tile. インシデントとアラートが一覧表示されます。The incidents and alerts are listed. セキュリティ インシデントには、セキュリティ アラートとは異なるアイコンが付いています。Notice that security incidents have a different icon to security alerts.

    セキュリティ インシデントの表示

  2. 詳細を表示するには、インシデントを選択します。To view details, select an incident. [セキュリティ インシデント] ページに詳細が表示されます。The Security incident page shows more details.

    Azure Security Center でのセキュリティ インシデントへの対応Respond to security incidents in Azure Security Center

    セキュリティ インシデント ページの左側のウィンドウには、セキュリティ インシデントに関する概要情報 (タイトル、重要度、状態、アクティビティ時間、説明、影響を受けるリソース) が表示されます。The left pane of the security incident page shows high-level information about the security incident: title, severity, status, activity time, description, and the affected resource. 影響を受けるリソースの横に、関連する Azure タグが表示されます。Next to the affected resource you can see the relevant Azure tags. これらのタグを使用して、アラートを調査するときにリソースの組織コンテキストを推測します。Use these tags to infer the organizational context of the resource when investigating the alert.

    右側のウィンドウには、このインシデントの一部として関連付けられたセキュリティ アラートを含む [アラート] タブが表示されます。The right pane includes the Alerts tab with the security alerts that were correlated as part of this incident.

    ヒント

    具体的なアラートの詳細については、そのアラートを選択してください。For more information about a specific alert, select it.

    インシデントの [アクションの実行] タブIncident's take action tab

    [アクションの実行] タブに切り替えるには、右側のウィンドウの下部にあるタブまたはボタンを選択します。To switch to the Take action tab, select the tab or the button on the bottom of the right pane. このタブを使用すると、次のような操作を実行できます。Use this tab to take further actions such as:

    • [Mitigate the threat](脅威の軽減) - このセキュリティ インシデントに対する手動の修復手順を提供しますMitigate the threat - provides manual remediation steps for this security incident
    • [Prevent future attacks](将来の攻撃防止) - セキュリティに関する推奨事項を提供して、攻撃対象を減らし、セキュリティ体制を強化し、将来の攻撃を防ぐことができるようにしますPrevent future attacks - provides security recommendations to help reduce the attack surface, increase security posture, and prevent future attacks
    • [Trigger automated response](自動応答のトリガー) - このセキュリティ インシデントへの応答としてロジック アプリをトリガーするオプションを提供しますTrigger automated response - provides the option to trigger a Logic App as a response to this security incident
    • [Suppress similar alerts](類似のアラートの抑制) - 組織に関連しないアラートの場合、同様の特性を持つ今後のアラートを抑制するオプションを提供しますSuppress similar alerts - provides the option to suppress future alerts with similar characteristics if the alert isn’t relevant for your organization

    注意

    同じアラートが 1 つのインシデントに含まれることもあれば、スタンドアロン アラートとして表示されることもあります。The same alert can exist as part of an incident, as well as to be visible as a standalone alert.

  3. インシデントの脅威を修復するには、各アラートに対する修復手順に従います。To remediate the threats in the incident, follow the remediation steps provided with each alert.

次のステップNext steps

このページでは、Security Center のセキュリティ インシデント機能について説明しました。This page explained the security incident capabilities of Security Center. 関連情報については、次のページを参照してください。For related information, see the following pages: