Microsoft Sentinel でインシデントにアラートを関連付ける

  • [アーティクル]

この記事では、Microsoft Sentinel でインシデントにアラートを関連付ける方法について説明します。 この機能を使用すると、調査プロセスの一環として既存のインシデントに対してアラートを手動または自動で追加または削除でき、調査の展開に合わせてインシデントの範囲を調整できます。

重要

インシデントの拡大は現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

インシデントの範囲と影響力を拡大する

この機能でできることの 1 つは、あるデータ ソースからのアラートを、別のデータ ソースによって生成されたインシデントに含めることです。 たとえば、Microsoft Defender for Cloud からのアラートや、さまざまなサードパーティ データ ソースからのアラートを、Microsoft Defender XDR から Microsoft Sentinel にインポートされたインシデントに追加できます。

この機能は、Microsoft Sentinel API の最新バージョンに組み込まれています。つまり、Microsoft Sentinel 用の Logic Apps コネクタで使用できます。 そのため、特定の条件が満たされた場合に、プレイブックを使用してインシデントにアラートを自動的に追加できます。

またこの自動化を使用して、手動で作成されたインシデントにアラートを追加したり、カスタム相関関係を作成したり、アラートが作成されたら、それらのアラートをインシデントにグループ化するカスタム条件を定義したりすることもできます。

制限事項

  • Microsoft Sentinel は、アラートとインシデントの両方を Microsoft Defender XDR からインポートします。 ほとんどの部分で、これらのアラートとインシデントは、Microsoft Sentinel の通常のアラートおよびインシデントと同様に扱うことができます。

    ただし、Defender アラートを Defender インシデントに追加できるのは (またはそれらのアラートを削除できるのは)、Defender ポータルだけであり、Sentinel ポータルでは行うことができません。 Microsoft Sentinel でこれを行おうとすると、エラー メッセージが表示されます。 Microsoft Sentinel のインシデント内のリンクを使用して、Microsoft Defender ポータルでインシデントにピボットできます。 ただし、Microsoft Defender ポータルでインシデントに加えた変更は、Microsoft Sentinel 内の並列インシデントに同期されるため、Sentinel ポータルでインシデントに追加されたアラートは引き続き表示されます。

    Microsoft Sentinel ポータルでは、Microsoft Defender XDR のアラートを Defender 以外のインシデントに追加すること、および Defender 以外のアラートを Defender のインシデントに追加することが "可能" です。

  • 統合セキュリティ オペレーション ポータルに Microsoft Sentinel をオンボードした場合、(Azure portal の) Microsoft Sentinel で、インシデントに Microsoft Sentinel アラートを追加したり、インシデントから Microsoft Sentinel アラートを削除したりできなくなります。 これは、Microsoft Defender ポータルでのみ実行できます。 詳細については、「ポータル間の機能の違い」を参照してください。

  • インシデントには、最大 150 件のアラートを含めることができます。 150 件のアラートが含まれるインシデントにアラートを追加しようとすると、エラー メッセージが表示されます。

エンティティ タイムラインを使用してアラートを追加する (プレビュー)

新しいインシデント エクスペリエンス (現在はプレビュー段階) で注目していただきたいエンティティ タイムラインには、特定のインシデント調査のすべてのエンティティが表示されます。 リスト内のエンティティが選択されると、サイド パネルにミニチュア エンティティ ページが表示されます。

  1. Microsoft Sentinel のナビゲーション メニューから [インシデント] を選択します。

    グリッドに表示される新しいインシデント キューのスクリーンショット。

  2. 調査するインシデントを選択します。 インシデントの詳細パネルで、[完全な詳細の表示] を選択します。

  3. インシデント ページで、[エンティティ] タブを選択します。

    インシデント ページの [エンティティ] タブのスクリーンショット。

  4. 一覧からエンティティを選択します。

  5. エンティティ ページのサイド パネルで、[タイムライン] カードを選択します。

    インシデント ページの [エンティティ] タブのエンティティ タイムライン カードのスクリーンショット。

  6. 開いているインシデントと関係のないアラートを選択します。 これらは、灰色で表示されたシールド アイコンと重大度を表す点線の色帯で示されます。 そのアラートの右端にあるプラス記号のアイコンを選択します。

    エンティティ タイムラインでの外部アラートの外観のスクリーンショット。

  7. [OK] を選択して、インシデントにアラートを追加することを確認します。 インシデントへのアラートの追加を確認する通知、またはアラートが追加されなかった理由を説明する通知を受け取ります。 エンティティ タイムラインでインシデントへのアラートの追加を示すスクリーンショット。

追加されたアラートが、開いているインシデントの [タイムライン] ウィジェットの [概要] タブに表示され、フルカラーのシールド アイコンと、インシデント内の他のアラートと同様に実線の色帯が表示されます。

追加されたアラートはインシデントの完全な部分になり、追加されたアラート (インシデントの一部ではなかった) のすべてのエンティティもインシデントの一部になりました。 これで、インシデントに追加できるその他のアラートについて、それらのエンティティのタイムラインを調べることができるようになります。

インシデントからアラートを削除する

インシデントに追加されたアラート (手動または自動) もインシデントから削除できます。

  1. Microsoft Sentinel のナビゲーション メニューから [インシデント] を選択します。

  2. 調査するインシデントを選択します。 インシデントの詳細パネルで、[完全な詳細の表示] を選択します。

  3. [概要] タブの [インシデント タイムライン] ウィジェットで、インシデントから削除するアラートの横にある 3 つのドットを選択します。 ポップアップ メニューから [アラートの削除] を選択します。

    インシデント タイムラインでインシデントからアラートを削除する方法を示すスクリーンショット。

調査グラフを使用してアラートを追加する

調査グラフは視覚的かつ直感的なツールであり、関係性とパターンが提示され、アナリストは適切な質問をして、リードに従うことができます。 これを使用してインシデントに対してアラートを追加および削除でき、調査の範囲を拡大または縮小できます。

  1. Microsoft Sentinel のナビゲーション メニューから [インシデント] を選択します。

    グリッドに表示されるインシデント キューのスクリーンショット。

  2. 調査するインシデントを選択します。 インシデントの詳細パネルで、[アクション] ボタンを選択し、ポップアップ メニューから [調査] を選択します。 これにより、調査グラフが開きます。

    調査グラフ内でアラートがあるインシデントのスクリーンショット。

  3. エンティティにマウス ポインターを合わせます。これにより、エンティティの横に探索クエリの一覧が表示されます。 [関連するアラート] を選択します。

    調査グラフ内のアラート探索クエリのスクリーンショット。

    関連するアラートは、点線でエンティティに接続されます。

    調査グラフに表示される関連するアラートのスクリーンショット。

  4. 関連するアラートのいずれかにマウス ポインターを合わせます。これにより、アラートの横にメニューがポップアップ表示されます。 [Add alert to incident (Preview)] (インシデントにアラートを追加する (プレビュー)) を選択します。

    調査グラフでインシデントへのアラートの追加を示すスクリーンショット。

  5. アラートがインシデントに追加され、すべての目的のために、そのすべてのエンティティと詳細と共にインシデントの一部となります。 次の 2 つの視覚的表現が表示されます。

    • 調査グラフ内でエンティティに接続する線が、点線から実線に変更されており、追加されたアラート内のエンティティへの接続がグラフに追加されています。

      インシデントに追加されるアラートを示すスクリーンショット。

    • アラートが既存のアラートと共に、このインシデントのタイムラインに表示されています。

      インシデントのタイムラインに追加されるアラートを示すスクリーンショット。

特殊な状況

インシデントにアラートを追加する場合、状況によっては、要求を確認するように、またはさまざまなオプションの中から選択を行うように求められる場合があります。 次に、これらの状況の例、求められる選択、その影響を示します。

  • 追加したいアラートが、別のインシデントに既に属している。

    この場合、アラートが別の 1 つ以上のインシデントの一部であることを示すメッセージが表示され、続行するかどうか尋ねられます。 アラートを追加するには [OK] を選択し、何も行わない場合は [キャンセル] を選択します。

    このインシデントにアラートを追加しても、他のインシデントから "アラートが削除されるということはありません"。 アラートは、複数のインシデントに関連付けることができます。 必要に応じて、上記のメッセージ プロンプト内のリンクに従って、他のインシデントからアラートを手動で削除できます。

  • 追加したいアラートが別のインシデントに属しており、その別のインシデントで唯一のアラートとなっている。

    これは上記のケースとは異なります。アラートが別のインシデントで唯一のアラートとなっている場合、このインシデントでそれを追跡すると、別のインシデントが無関係となる可能性があるためです。 そのため、このケースでは、次のダイアログが表示されます。

    他のインシデントを保持するか、終了するかを尋ねるスクリーンショット。

    • [Keep other incident] (他のインシデントを保持する) では、他のインシデントがそのまま保持され、一方でアラートがこのインシデントにも追加されます。

    • [Close other incident] (他のインシデントを終了する) では、アラートがこのインシデントに追加され、他のインシデントは終了となります。このとき、[Undetermined] (不明) という終了理由と、[Alert was added to another incident] (アラートが別のインシデントに追加されました) というコメントが未解決インシデントの番号と共に追加されます。

    • [キャンセル] では、現状が維持されます。 未解決のインシデントや他の参照先のインシデントは変更されません。

    これらのオプションのうちのどれを選択するかは、特定のニーズによって決まります。そのため、推奨される選択肢はありません。

プレイブックを使用してアラートを追加または削除する

インシデントへのアラートの追加および削除は、Microsoft Sentinel コネクタで Logic Apps アクションとして行うことができ、そのため Microsoft Sentinel プレイブックでも行うことができます。 インシデント ARM IDシステム アラート ID をパラメーターとして指定する必要があります。これらはどちらも、アラート トリガーとインシデント トリガーの両方のプレイブック スキーマで見つけることができます。

Microsoft Sentinel では、この機能の使用方法を示すサンプル プレイブック テンプレートをテンプレート ギャラリーに用意しています。

アラートをインシデントに関連付けるためのプレイブック テンプレートのスクリーンショット。

ここでは、このプレイブックで [Add alert to incident (Preview)] (インシデントにアラートを追加する (プレビュー)) アクションを使用する方法を、別の場所でアラート追加を使用する方法の例として示します。

プレイブック アクションを使用したインシデントへのアラートの追加を示すスクリーンショット。

API を使用してアラートを追加または削除する

この機能はポータル以外でも使用できます。 Microsoft Sentinel API を介して、インシデント リレーションシップ操作グループを介してアクセスすることもできます。 これにより、アラートとインシデントの間のリレーションシップを取得、作成、更新、削除できます。

リレーションシップを作成する

アラートとインシデントの間にリレーションシップを作成することで、インシデントにアラートを追加します。 次のエンドポイントを使用して、既存のインシデントにアラートを追加します。 この要求が行われた後、アラートがインシデントに追加され、ポータル内のインシデントのアラート一覧に表示されます。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

要求本文はこのようになります。

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

リレーションシップを削除する

アラートとインシデントの間のリレーションシップを削除することで、インシデントからアラートを削除します。 次のエンドポイントを使用して、既存のインシデントからアラートを削除します。 この要求が行われた後、アラートはインシデントに関連付けられなくなり、表示されなくなります。

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

アラートのリレーションシップを一覧表示する

このエンドポイントと要求を使用して、特定のインシデントに関連するすべてのアラートを一覧表示することもできます。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

特定のエラー コード

一般 API ドキュメントに、前述の作成削除一覧表示操作の予期される応答コードの一覧が記載されています。 エラー コードは、一般カテゴリとしてのみ記載されています。 ここでは、発生する可能性がある特定のエラー コードとメッセージを示します。これらは、"その他の状態コード" カテゴリにリストされています。

コード Message
400 Bad Request Failed to create relation. (リレーションシップの作成に失敗しました。) Different relation type with name {relationName} already exists in incident {incidentIdentifier}. (インシデント {incidentIdentifier} には、{relationName} という名前の異なる種類のリレーションシップが既に存在します。)
400 Bad Request Failed to create relation. (リレーションシップの作成に失敗しました。) Alert {systemAlertId} already exists in incident {incidentIdentifier}. (アラート {systemAlertId} は、インシデント {incidentIdentifier} に既に存在します。)
400 Bad Request Failed to create relation. (リレーションシップの作成に失敗しました。) Related resource and incident should belong to the same workspace. (関連するリソースとインシデントは、同じワークスペースに属している必要があります。)
400 Bad Request Failed to create relation. (リレーションシップの作成に失敗しました。) Microsoft Defender XDR alerts cannot be removed from Microsoft Defender XDR incidents. (Microsoft Defender XDR のインシデントに Microsoft Defender XDR のアラートを追加できません。)
400 Bad Request Failed to delete relation. (リレーションシップの削除に失敗しました。) Microsoft Defender XDR alerts cannot be removed from Microsoft Defender XDR incidents. (Microsoft Defender XDR のインシデントから Microsoft Defender XDR のアラートを削除できません。)
404 見つかりません Resource '{systemAlertId}' does not exist. (リソース '{systemAlertId}' が存在しません。)
404 見つかりません Incident doesn’t exist. (インシデントが存在しません。)
409 Conflict Failed to create relation. (リレーションシップの作成に失敗しました。) Relation with name {relationName} already exists in incident {incidentIdentifier} to different alert {systemAlertId}. ({relationName} という名前のリレーションシップが、インシデント {incidentIdentifier} と別のアラート {systemAlertId} の間に既に存在します。)

次の手順

この記事では、Microsoft Sentinel ポータルと API を使用してインシデントにアラートを追加する方法、およびそれらを削除する方法について説明しました。 詳細については、次を参照してください。