Microsoft Defender ポータルでのインシデント対応
Microsoft Defender ポータルのインシデントは、攻撃のストーリーを構成する関連アラートと関連するデータのコレクションです。 また、SOC がその攻撃を調査し、それに対する応答を管理、実装、文書化するために使用できるケース ファイルでもあります。
Microsoft Sentinel サービスとMicrosoft Defender サービスは、疑わしいイベントまたは悪意のあるイベントまたはアクティビティを検出するとアラートを作成します。 個々のアラートは、完了または進行中の攻撃の貴重な証拠を提供します。 ただし、ますます普及し、高度な攻撃では、通常、デバイス、ユーザー、メールボックスなど、さまざまな種類の資産エンティティに対してさまざまな手法とベクトルが使用されます。 その結果、デジタル資産内の複数の資産エンティティに対して、複数のソースから複数のアラートが生成されます。
個々のアラートはそれぞれストーリーの一部のみを伝え、個々のアラートを手動でグループ化して攻撃の分析情報を得ることは困難で時間がかかる可能性があるため、統合セキュリティ運用プラットフォームは、Microsoft Sentinel とMicrosoft Defender XDRの両方から関連するアラートを自動的に識別し、それらのアラートとその関連情報をインシデントに集計します。
関連するアラートをインシデントにグループ化することで、攻撃を包括的に表示します。 たとえば、次が表示されます。
- 攻撃の開始場所。
- 使用された戦術。
- 攻撃がデジタル資産にどの程度まで侵入したか。
- 攻撃の範囲 (影響を受けたデバイス、ユーザー、メールボックスの数など)。
- 攻撃に関連付けられているすべてのデータ。
Microsoft Defender ポータルの統合セキュリティ運用プラットフォームには、インシデントのトリアージ、調査、解決を自動化および支援する方法が含まれています。
Defender の Microsoft Copilot は、複雑で時間のかかる毎日のワークフローを使用してアナリストをサポートします。これには、エンド ツー エンドのインシデント調査と、明確に説明された攻撃ストーリーによる対応、ステップ バイ ステップのアクション可能な修復ガイダンス、インシデント アクティビティ要約レポート、自然言語 KQL ハンティング、エキスパート コード分析など、Microsoft Sentinel とDefender XDR データ全体の SOC 効率に最適化されています。
この機能は、Microsoft Sentinel が統合プラットフォームに提供する他の AI ベースの機能に加えて、ユーザーとエンティティの動作分析、異常検出、多段階の脅威検出などの領域にあります。
自動攻撃の中断では、Microsoft Defender XDRと Microsoft Sentinel から収集された高信頼信号を使用して、脅威を含み、影響を制限して、マシンの速度でアクティブな攻撃を自動的に中断します。
有効にした場合、Microsoft Defender XDRは、自動化と人工知能を通じて、Microsoft 365 および Entra ID ソースからのアラートを自動的に調査して解決できます。 また、追加の修復手順を実行して攻撃を解決することもできます。
Microsoft Sentinel 自動化ルール では、ソースに関係なく、インシデントのトリアージ、割り当て、管理を自動化できます。 コンテンツに基づいてインシデントにタグを適用したり、ノイズの多い (誤検知) インシデントを抑制したり、適切な条件を満たす解決済みインシデントを閉じたり、理由を指定したり、コメントを追加したりできます。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ運用プラットフォームのパブリック プレビューの一部として使用できます。 詳細については、Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。
Microsoft Defender ポータルでのインシデントとアラート
ヒント
2024 年 1 月の期間限定で、[ インシデント ] ページにアクセスすると、Defender Boxed が表示されます。 Defender Boxed では、2023 年中のorganizationのセキュリティの成功、機能強化、対応アクションが強調表示されます。 Defender Boxed を再度開くには、Microsoft Defender ポータルで [インシデント] に移動し、[Defender Boxed] を選択します。
インシデントは、Microsoft Defender ポータルの>クイック 起動 & インシデント & アラート>からインシデントを管理します。 次に例を示します:
![Microsoft Defender ポータルの [インシデント] ページ。](../../media/incidents-overview/incidents-ss-incidents.png?view=o365-worldwide#lightbox)
インシデント名を選択すると、インシデントの 攻撃ストーリー 全体から始まるインシデント ページが表示されます。
インシデント内のアラート ページ: インシデントに関連するアラートのスコープと、同じタブ上の情報。
グラフ: 攻撃の一部であるさまざまな疑わしいエンティティと、攻撃のターゲットを構成する資産エンティティ (ユーザー、デバイス、アプリ、メールボックスなど) を接続する攻撃の視覚的表現。
資産やその他のエンティティの詳細をグラフから直接表示し、アカウントの無効化、ファイルの削除、デバイスの分離などの応答オプションで操作できます。
インシデント ページは、次のタブで構成されます。
攻撃ストーリー
前述のこのタブには、攻撃のタイムラインが含まれます。これには、実行されたすべてのアラート、資産エンティティ、修復アクションが含まれます。
アラート
インシデント、そのソース、および情報に関連するすべてのアラート。
資産
インシデントの一部またはインシデントに関連していると識別されたすべての資産 (デバイス、ユーザー、メールボックス、アプリ、クラウド リソースなどの保護されたエンティティ)。
調査
調査の状態とその結果など、インシデント内のアラートによってトリガーされるすべての 自動調査 。
証拠と対応
攻撃ストーリーをサポートする証拠を構成する、インシデントのアラート内のすべての疑わしいエンティティ。 これらのエンティティには、IP アドレス、ファイル、プロセス、URL、レジストリ キーと値などが含まれます。
概要
アラートに関連付けられている影響を受ける資産の概要。
注:
[サポートされていないアラートの種類] アラートの状態が表示される場合は、自動調査機能がそのアラートを取得して自動調査を実行できないことを意味します。 ただし、 これらのアラートは手動で調査できます。
Microsoft Defender ポータルでのインシデント対応ワークフローの例
Microsoft Defender ポータルを使用して Microsoft 365 のインシデントに対応するためのワークフローの例を次に示します。
継続的に、インシデント キュー内で、分析と解決優先度が最も高いインシデントを特定し、対応の準備をします。 これは、次を組み合わせたものです:
- インシデント キューのフィルター処理と並べ替えによって、優先度の最も高いインシデントを決定するためのトリアージ。
- タイトルの変更、アナリストへの割り当て、タグとコメントの追加によるインシデントの管理。
Microsoft Sentinel 自動化ルールを使用すると、インシデントの作成時にインシデントを自動的にトリアージおよび管理 (さらには対応) でき、最も処理しやすいインシデントがキュー内の領域を占有しないようにすることができます。
独自のインシデント対応ワークフローについては、次の手順を検討してください。
| ステージ | 手順 |
|---|---|
| インシデントごとに、 攻撃とアラートの調査と分析を開始します。 |
|
| 分析後または分析中に、封じ込めを実行して、攻撃やセキュリティ上の追加の影響を軽減し、脅威を根絶する。 | 例えば、 |
| 可能な限り、テナント リソースをインシデントの前の状態に復元して攻撃から回復する。 | |
| インシデントを解決し、結果を文書化します。 | インシデント後の学習に時間がかかります。 |
セキュリティ分析を初めて使用する場合は、 最初のインシデントへの対応の概要 に関するページを参照して、追加情報を確認し、インシデントの例をステップ実行してください。
Microsoft 製品全体のインシデント対応の詳細については、 こちらの記事を参照してください。
Microsoft Defender ポータルでのセキュリティ操作の統合
Microsoft Defender ポータルでのセキュリティ操作 (SecOps) プロセスの統合の例を次に示します。
毎日のタスクには、次のものが含まれます。
- インシデントの管理
- アクション センターでの 自動調査と対応 (AIR) アクションの確認
- 最新の Threat Analytics の確認
- インシデントへの対応
毎月のタスクには、次のものが含まれます。
- AIR 設定の確認
- セキュリティ スコアとMicrosoft Defender 脆弱性の管理の確認
- IT セキュリティ管理チェーンへのレポート
四半期ごとのタスクには、最高情報セキュリティ責任者 (CISO) へのセキュリティ結果のレポートとブリーフィングを含めることができます。
年次タスクには、スタッフ、システム、プロセスをテストするための大規模なインシデントや違反の演習を実施することが含まれます。
毎日、毎月、四半期、年次のタスクを使用して、プロセス、ポリシー、およびセキュリティ構成を更新または調整できます。
詳細については、「Microsoft Defender XDRをセキュリティ操作に統合する」を参照してください。
Microsoft 製品全体の SecOps リソース
Microsoft 製品全体の SecOps の詳細については、次のリソースを参照してください。
電子メールによるインシデント通知
Microsoft Defender ポータルを設定して、新しいインシデントや既存のインシデントの更新に関するメールをスタッフに通知することができます。 次の情報に基づいて通知を取得できます。
- アラートの重大度
- アラート ソース
- デバイス グループ
インシデントの電子メール通知を設定するには、「インシデント に関する電子メール通知を取得する」を参照してください。
セキュリティ アナリスト向けトレーニング
Microsoft Learn のこの学習モジュールを使用して、Microsoft Defender XDRを使用してインシデントとアラートを管理する方法を理解します。
| トレーニング: | Microsoft Defender XDRを使用してインシデントを調査する |
|---|---|
 |
Microsoft Defender XDRは、複数のサービスからの脅威データを統合し、AI を使用してインシデントとアラートに結合します。 インシデントからその管理までの時間を最小限に抑え、その後の対応と解決の方法について説明します。 27 分 - 6 ユニット |
次の手順
セキュリティ チームのエクスペリエンス レベルまたはロールに基づいて、一覧表示されている手順を使用します。
エクスペリエンス レベル
セキュリティ分析とインシデント対応に関するエクスペリエンスのレベルについては、次の表に従ってください。
| レベル | 手順 |
|---|---|
| New |
|
| 経験 |
|
セキュリティ チームの役割
セキュリティ チームの役割に基づいて、次の表に従います。
| 役割 | 手順 |
|---|---|
| インシデント レスポンダー (階層 1) | Microsoft Defender ポータルの [インシデント] ページからインシデント キューの使用を開始します。 グループ プロフィールでは次の操作ができます。
|
| セキュリティ調査員またはアナリスト (階層 2) |
|
| 高度なセキュリティ アナリストまたは脅威ハンター (階層 3) |
|
| SOC マネージャー | Microsoft Defender XDRを Security Operations Center (SOC) に統合する方法を参照してください。 |
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示