Microsoft Defender for Endpoint インシデントを管理する

  • [アーティクル]

適用対象:

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

インシデントの管理は、すべてのサイバーセキュリティ操作の重要な部分です。 インシデントを管理するには、[ インシデント] キュー または [ インシデント管理] ウィンドウからインシデントを選択します

ヒント

2024 年 1 月の期間限定で、[ インシデント ] ページにアクセスすると、Defender Boxed が表示されます。 Defender Boxed では、2023 年中のorganizationのセキュリティの成功、機能強化、対応アクションが強調表示されます。 Defender Boxed を再度開くには、Microsoft Defender ポータルで [インシデント] に移動し、[Defender Boxed] を選択します。

インシデント キューからインシデントを選択すると、[インシデント管理] ウィンドウが表示され、インシデント ページを開いて詳細を確認できます。

インシデント管理ウィンドウ

インシデントを自分に割り当てる、状態と分類を変更する、名前を変更する、またはコメントを付けて進行状況を追跡できます。

ヒント

インシデント名は、影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどのアラート属性に基づいて自動的に生成されます。 これにより、インシデントの範囲をすばやく把握できます。

たとえば、 複数のソースによって報告された複数のエンドポイントに対するマルチステージ インシデント。

自動インシデントの名前付けのロールアウト前に存在していたインシデントは、その名前を保持します。

インシデントの詳細ページ

インシデントを割り当てる

インシデントがまだ割り当てられていない場合は、[ 自分に割り当てる ] を選択してインシデントを自分に割り当てることができます。 これにより、インシデントの所有権だけでなくそのインシデントと関連するすべての警告の所有権が自分に割り当てられます。

状態と分類を設定する

インシデントの状態

インシデントは、調査の進捗に合わせて状態を変更することにより、Active (アクティブ) または Resolved (解決済み) に分類できます。 こうすることで、チームでのインシデントへの対応方法を整理して管理できます。

たとえば、SOC アナリストは、その日の緊急 のアクティブ インシデントを確認し、調査のために自分に割り当てることを決定できます。

また、インシデントが修復された場合は、SOC アナリストはインシデントを Resolved (解決済み) と設定することができます。

分類

分類を設定しないことも、インシデントが真または偽であると指定することもできます。 こうすることで、チームにはインシデントの傾向が示され、チームの学習につながります。

コメントを追加する

警告にはコメントを追加することができ、インシデントに関する過去のイベントを表示して、以前に行われた変更を確認できます。

警告に変更またはコメントが加えられるたびに、[Comments and history (コメントと履歴)] セクションに記録されます。

追加されたコメントは直ちにウィンドウに表示されます。

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。