Microsoft Defender for Cloud でセキュリティインシデントを管理する

[アーティクル]
08/08/2024

セキュリティアラートのトリアージと調査は、熟練のセキュリティアナリストでさえ長時間を要することのある作業です。多くのユーザーにとっては、どこから始めればよいかを判断することも困難です。

Defender for Cloud では、分析を使用して、個別のセキュリティアラート間で情報を接続します。これらの接続を使用すると、Defender for Cloud は攻撃キャンペーンとその関連アラートを 1 つのビューで表示して、攻撃者のアクションと影響を受けるリソースを把握するのに役立ちます。

このページでは、Defender for Cloud でのインシデントの概要について説明します。

セキュリティインシデントとは

Defender for Cloud では、セキュリティインシデントは、キルチェーンパターンに合ったリソースのすべてのアラートの集計です。インシデントは [セキュリティアラート] ページの一覧に表示されます。インシデントを選択すると、関連するアラートと詳細情報が表示されます。

セキュリティインシデントの管理

Defender for Cloud の [セキュリティアラート] ページで、[フィルターの追加] ボタンを使用して、アラート名でフィルター処理し、アラート名 [複数のリソースで検出されたセキュリティインシデント] にします。

一覧がフィルター処理され、インシデントのみが表示されるようになりました。セキュリティインシデントには、セキュリティアラートとは異なるアイコンが付いています。
インシデントの詳細を表示するには、一覧から 1 つを選択します。サイドペインに、インシデントの詳細が表示されます。
詳細を表示するには、 [すべての詳細を表示] を選択します。

セキュリティインシデントページの左側のウィンドウには、セキュリティインシデントに関する概要情報 (タイトル、重要度、状態、アクティビティ時間、説明、影響を受けるリソース) が表示されます。影響を受けるリソースの横に、関連する Azure タグが表示されます。これらのタグを使用して、アラートを調査するときにリソースの組織コンテキストを推測します。

右側のウィンドウには、このインシデントの一部として関連付けられたセキュリティアラートを含む [アラート] タブが表示されます。

ヒント

具体的なアラートの詳細については、そのアラートを選択してください。

[アクションの実行] タブに切り替えるには、右側のウィンドウの下部にあるタブまたはボタンを選択します。このタブを使用すると、次のような操作を実行できます。
- [Mitigate the threat](脅威の軽減) - このセキュリティインシデントに対する手動の修復手順を提供します
- [Prevent future attacks](将来の攻撃防止) - セキュリティに関する推奨事項を提供して、攻撃対象を減らし、セキュリティ体制を強化し、将来の攻撃を防ぐことができるようにします
- [Trigger automated response](自動応答のトリガー) - このセキュリティインシデントへの応答としてロジックアプリをトリガーするオプションを提供します
- [Suppress similar alerts](類似のアラートの抑制) - 組織に関連しないアラートの場合、同様の特性を持つ今後のアラートを抑制するオプションを提供します
注意

同じアラートが 1 つのインシデントに含まれることもあれば、スタンドアロンアラートとして表示されることもあります。
インシデントの脅威を修復するには、各アラートに対する修復手順に従います。