Azure Security Center でのインシデントとアラートの調査 (廃止)Investigate Incidents and Alerts in Azure Security Center (Retired)

このドキュメントは、Azure Security Center の調査機能 (プレビュー) を使用して、セキュリティ インシデントとアラートを調査するときに役立ちます。This document helps you use the investigation feature (Preview) in Azure Security Center to investigate security incidents and alerts.

注意

アラートとインシデントの調査 (プレビュー) エクスペリエンスは、2019 年 7 月 31 日に廃止されました。The alerts and incidents investigation (Preview) experience has been retired on July 31st, 2019. 詳細および代替サービスについては、「Security Center の機能の廃止 (2019 年 7 月)」を参照してください。For more information and alternative services, see Retirement of Security Center features (July 2019).

Security Center の調査とはWhat is investigation in Security Center?

Security Center の調査機能を使用すると、潜在的なセキュリティ インシデントについて、トリアージ、範囲の把握、根本原因の特定を行うことできます。The Investigation feature in Security Center allows you to triage, understand the scope, and track down the root cause of a potential security incident.

その目的は、調査中のインシデントに関するすべてのエンティティ (セキュリティ アラート、ユーザー、コンピューター、インシデント) を関連付けて、調査プロセスを容易にすることです。The intent is to facilitate the investigation process by linking all entities (security alerts, users, computers and incidents) that are involved with the incident you are investigating. Security Center では、重要なデータとすべての関連するエンティティを相互に関連付けたうえで、対象の検索と重要な情報の視覚化に役立つライブ グラフを使ってその相関関係を明らかにすることで、これを実現します。Security Center can do this by correlating relevant data with any involved entities and exposing this correlation in using a live graph that helps you navigate through the objects and visualize relevant information.

注意

  • カスタム アラートは、Security Center の調査機能ではサポートされていません。Custom alerts are not supported in Security Center's investigation feature.
  • 調査は、Windows サーバーから収集されたデータに基づくアラートに対してのみサポートされています。Investigation is only supported for alerts based on data collected from Windows servers.

調査のしくみHow Investigation works?

調査は、調査ダッシュボードの中央の領域を占めるグラフで構成されます。The Investigation is composed by a graph that occupies the central area of the investigation dashboard. このグラフでは、常に特定のエンティティに焦点が当てられており、それに関連するエンティティが表示されています。The graph is always focused on a specific entity, and presents the entities that are related to it. エンティティは、セキュリティ アラート、ユーザー、コンピューター、またはインシデントの場合があります。An entity could be a security alert, user, computer or incident.

マップ

ユーザーは、グラフ中のエンティティをクリックすることで、別のエンティティに移動できます。The user can navigate from one entity to another by clicking on it in the graph. 選択したエンティティとその関連エンティティに自動的に中心になります。The graph automatically centralizes on the selected entity and its related entities. 関連がなくなったエンティティは、グラフから削除される場合があります。Entities that are not relevant anymore may be removed from the graph.

調査パスInvestigation path

ユーザーが別のエンティティに移動する際には、調査のコンテキストを追跡するのに調査パスが役立ちます。これにより、迅速な移動が可能になります。While the user is navigating to different entities the investigation path helps to keep track of the investigation context and allows quick navigation. 調査結果が含まれているインシデントは、常に調査パスの左端にあります。The incident that contains the investigation results is always in the left-most incident in the investigation path.

パス

一般情報General information

グラフにエンティティが表示されると、そのエンティティに関する追加の情報がタブに表示されます。When an entity is presented in the graph, the tabs show additional information on this entity. [情報] タブでは、利用可能なさまざまな情報ソースから取得されたエンティティの一般情報が表示されます。The Info tab presents general information on the entity from various available information sources.

一般情報

この情報タブでは、マップで選択されているインシデントに関する情報が表示されます。The info tab shows information relevant to the incident selected in the map. インシデントは、調査の結果が含まれているコンテナーです。Incident is a container that includes the results of an investigation. すべての調査は、インシデントのコンテキストで行われます。Every investigation happens in the context of an incident.

インシデントが作成されるのは、ユーザーが特定のアラートの [調査の開始] ボタンをクリックした場合のみです。An incident is only created when a user clicks on the Start investigation button for a specific alert. 調査担当者が利用できる基本的な機能として、ユーザー、コンピューター、アラートなどのエンティティのマークがあります。The basic capability available for the investigator is to mark entities such as user, computer or alert. エンティティを関連項目としてマークしたら、理由を入力します。When an entity is marked as related, a reason is provided. その後、このエンティティは、グラフのインシデントの直下とインシデント エンティティの一覧に表示されます。From this point onward, this entity appears directly under the incident in the graph and in the incident entities list.

エンティティEntities

[エンティティ] タブでは、すべての関連エンティティが種類ごとに表示されます。The Entities tab shows all the related entities grouped by type. これは、グラフに表示されるエンティティが多すぎる場合と、エンティティ名が長すぎて表形式の方が確認しやすい場合の、2 つのケースで役に立ちます。It is useful in two cases: when there are too many entities to present in the graph and when the entities names are too long, and it is easier to examine them in a tabular way.

エンティティ

[検索] タブでは、エンティティで利用できるすべてのログの種類が表示されます。The Search tab presents all the log types that are available for the entity. ログの種類ごとに、利用できる記録の数を確認できます。For each log type, you can see how many records are available. それぞれのログの種類をクリックすると、検索画面に移動します。Clicking on each log type takes you to the search screen. 検索画面では、検索を絞り込んだり、さまざまな検索機能 (アラート設定など) を使用したりできます。In the search screen, you can refine your search and use the various search features such as setting alerts. 現在のリリースでは、[検索] タブはユーザーとコンピューターのエンティティにのみ使用できます。In the current release, the search tab is available only for users and computers entities.

Search

探索Exploration

[探索] タブでは、調査担当者は、エンティティに関する各種の問題に関連したデータを確認できます。The Exploration tab allows the investigator to examine data related to various issues related to the entity. たとえば、マシンを調査する場合、そこで実行されたプロセスの一覧が [探索] タブに表示されます。場合によっては、疑わしい問題を示すデータが [探索] タブに表示されることがあります。For example, when a machine is investigated, the list of processes executed on it is presented in the exploration tab. In some cases, the exploration tab presents data that might indicate a suspicious issue. 調査担当者は、タブ内のデータを確認できるほか、それを検索画面で開いて、大量のデータを確認したり、高度な検索オプション (フィルター処理や Excel へのエクスポート) を使用したりできます。The investigator can examine the data within the tab or open it in the search screen to examine large sets of data and to use advanced search options such as filtering and export to Excel.

探索

タイムラインTimeline

グラフと各種タブに表示されるデータのほとんどは、ある特定の期間に関するものです。Most of the data that is presented in the graph and the various tabs is relevant for a specific time period. この時間範囲は、グラフの左上にある時間範囲セレクターを使用して設定します。This time scope is set using the time scope selector on the top left side of the graph. 調査担当者は、さまざまな方法で期間を選択できます。The investigator has various methods to select the time scope.

タイムライン

次の項目は時間範囲の影響を受けます。The following items are sensitive to the time scope:

  • グラフ内のユーザーとコンピューターの関係: この時間範囲内にコンピューターにログインしたユーザーのみが表示されます。User-computer relationship in the graph, only users that logged in to the computer within this time scope are presented.
  • コンピューターとユーザーの確認時に表示されるアラート: 時間範囲内に発生したアラートのみが表示されます。Which alerts are presented when you examine computers and users: only alerts that occur within the time scope are presented.
  • [エンティティ] タブにはグラフと同じロジックが適用されます。The entities tab follow the same logic as the graph.

次の項目は、期間の選択に関係なく表示されます。The following items are going to be presented regardless of the selected time scope:

  • アラートが表示された場合、それに含まれているすべてのエンティティ (ユーザーやコンピューター) が常に表示されます。When an alert is presented, all the entities that are contained in it, such as users and computers, are always presented.
  • インシデントにエンティティが含まれている場合、それが表示されます。If an incident contains an entity, it is going to be presented.

注意

[検索] タブと [探索] タブでは、この時間範囲内の記録のみが表示されます。The Search and Exploration tab only show records within this time scope.

調査の実行方法How to perform an investigation?

調査は、セキュリティ インシデントかアラートから開始できます。選択するオプションは必要に応じて異なります。You can start your investigation from a security incident, or from an alert, the option that you choose will vary according to your needs. 以下の手順は、アラートから調査を開始する際に使用します。The steps that follows are used to start an investigation from an alert:

  1. [Security Center] ダッシュボードを開きます。Open Security Center dashboard.

  2. [セキュリティ アラート] をクリックして、調査するインシデントを選択します。Click on Security Alerts, and select the incident that you want to investigate.

  3. インシデントのページで [調査の開始] ボタンをクリックすると、 [調査] ダッシュボードが表示されます。In the incident’s page, click on the Start Investigation button, and the Investigation dashboard appears.

    アラート:

  4. このダッシュボードから、マップのエンティティを選択できます。また、このエンティティについての関連情報が画面の右側に表示されます。From this dashboard you can select the entity in the map, and the relevant information about this entity appears on the right side of the screen.

    調査ダッシュボード

この時点で、このインシデントに関連するエンティティを探索し、それぞれのエンティティについて詳しく調べることができるようになります。From this point you can explore the entities that were involved in this incident, and explore more details about each one of them.

関連項目See also

このドキュメントでは、Security Center の調査機能を使用する方法について説明しました。In this document, you learned how to use the investigation feature in Security Center. セキュリティ センターの詳細については、次を参照してください。To learn more about Security Center, see the following: