XDR インシデント更新プログラムの Defender Experts の理解と管理

[アーティクル]
07/04/2024

適用対象:

Microsoft Defender XDR

次のセクションでは、インシデント通知の受信に関して SOC チームが持つ可能性があるダウン質問の一覧を示します。

Microsoft Defender ポータルと Graph Security API で

質問	答え
Defender Experts アナリストがインシデントに取り組み始めたかどうかを確認するにはどうすればよいですか?	Defender Experts アナリストがインシデントの作業を開始すると、インシデントの [割り当て先 ] フィールドが Defender Experts に更新されます。
Defender Experts アナリストがインシデントを解決したかどうかを確認するにはどうすればよいですか?	Defender Experts アナリストがインシデントを解決すると、インシデントの [状態] フィールドが [解決済み] に更新されます。
Defender Experts アナリストがインシデントを解決した結論を知る方法	Defender Experts アナリストは、インシデントを解決するときに、インシデントの [分類 ] フィールドと [決定 ] フィールドを変更し、[ コメント ] セクションで簡潔な概要を提供します。インシデントが True Positive として分類されている場合は、Microsoft Defender ポータルの [マネージド応答] ポップアップパネルに包括的な調査の概要が表示されます。
インシデントを調査するときに Defender Experts アナリストがテナントで行ったアクションを確認するにはどうすればよいですか?	調査するインシデントごとに、Defender Experts アナリストは、テナント内で実行されたアクションを、Microsoft Defender ポータルの [マネージド応答ポップアップ] パネルにあるインシデントの調査の概要に要約します。また、Microsoft Purview コンプライアンスポータルまたは Office 365 Management Activity API を使用して監査ログを検索することで、これらのアクションとテナントにサインインした時間に関する情報を取得することもできます。
Defender Experts アナリストが SOC チームに対して応答アクションを送信したかどうかを確認するにはどうすればよいですか?	Defender Experts アナリストは、Microsoft Defender ポータルのインシデントのマネージド応答ポップアップパネルでインシデントに対して実行するために SOC チームが推奨する応答アクションを公開します。現時点では、インシデントの [割り当て先 ] フィールドが [顧客 ] に更新され、その状態が [顧客アクションの待機中] に更新されます。 Microsoft Defender ポータルの [設定>Defender Experts>Notification 連絡先で指定したインシデント連絡先も、注意が必要な応答アクションがある場合に対応する電子メール通知を受け取ります。また、Microsoft Defender ポータルの [設定>Defender Experts>Teams で設定した場合は、Teams 通知も受け取ります。
調査または対応アクションについて Defender Experts アナリストに質問するにはどうすればよいですか?	Defender Experts アナリストが、True Positive インシデントのマネージド応答ポップアップパネルで調査の概要と推奨される応答アクションを公開した後、同じパネルの [ チャット ] タブを使用して、インシデントとその調査について Defender エキスパートチームに質問できます。または、指定されたインシデントの連絡先は、Defender エキスパートから受け取った Teams または電子メール通知に直接応答して、質問をすることができます。
保留中の応答アクションを持つインシデントを確認するにはどうすればよいですか?	Microsoft Defender ポータルのホームページの Defender Experts カードには、メッセージを表示するリンク (たとえば、アクションを待機している 3 件のインシデント) が含まれています。このリンクを選択すると、特に注意が必要なインシデントのフィルター処理された一覧が表示されます。 Microsoft Defender ポータルでインシデントキューをフィルター処理するには、[顧客として割り当て済み] または [状態] を [顧客アクションの待機中] として選択します。

Microsoft Sentinel で

質問	答え
Sentinel で Defender Experts の更新プログラムを入手するにはどうすればよいですか?	Microsoft Defender XDR と Microsoft Sentinel の間でデータコネクタを有効にした場合、Defender Experts によってインシデントに対して行われた更新が Microsoft Sentinel と同期されます。詳細情報を参照してください。 Microsoft Defender XDR インシデントの [割り当て先]、[ 状態]、および [分類 ] フィールドは、Sentinel の対応するフィールド ( 所有者、状態、および終了理由) にマップされます。
Sentinel で Defender Experts の更新プログラムを取得してプレイブックを自動的にトリガーするにはどうすればよいですか?	Defender Experts の更新プログラムを取得するには、まず、次の Defender Experts 更新プログラムでトリガーされる自動化ルールを Sentinel で設定します。 Microsoft Sentinel の [所有者 ] フィールドが Defender Experts または Customer に更新されたとき。 Microsoft Sentinel の [状態] フィールドが [アクティブ] または [ クローズ済み] に更新された場合は、それぞれ Microsoft Defender XDR の [状態] と [ 進行中 ] に対応します。 Sentinel タグ待機中の顧客アクションが追加されると、これは Microsoft Defender XDR 状態待機中の顧客アクションに対応します。次に、Microsoft Sentinel でプレイブックを設定して、インシデントの更新プログラムを自動的に同期するか、インシデント通知を他のアプリに送信します。 Defender Experts アナリストがインシデントに割り当てられている場合は、電子メール、Teams メッセージ、または Slack メッセージを SOC チームに送信します。 Defender Experts がチームの応答アクションを発行するときに、Azure Communications Services または Twilio コネクタを介して SMS または電話を SOC リーダーに送信します。 IT Ops チームの Azure DevOps、ServiceNow、Jira、ZenDesk、FreshService、PagerDuty などのアプリでタスクまたはチケットを作成します。
Sentinel から Defender Experts によって発行されたマネージド応答アクションにアクセスするにはどうすればよいですか?	Defender Experts が Microsoft Defender ポータルでインシデントのマネージド応答アクションを公開すると、[ 所有者 ] フィールドが [ 顧客 ] に自動的に更新され、Sentinel で [ 顧客アクションの待機中] タグが使用できるようになります。これらのフィールドの変更をトリガーとして使用して、Microsoft Defender ポータルで対応するインシデントのマネージド応答パネルを確認できます。

質問

答え

Sentinel で Defender Experts の更新プログラムを入手するにはどうすればよいですか?

Microsoft Defender XDR と Microsoft Sentinel の間でデータコネクタを有効にした場合、Defender Experts によってインシデントに対して行われた更新が Microsoft Sentinel と同期されます。詳細情報を参照してください。

Microsoft Defender XDR インシデントの [割り当て先]、[ 状態]、および [分類 ] フィールドは、Sentinel の対応するフィールド ( 所有者、状態、 および終了理由) にマップされます。

Sentinel で Defender Experts の更新プログラムを取得してプレイブックを自動的にトリガーするにはどうすればよいですか?

Defender Experts の更新プログラムを取得するには、まず、次の Defender Experts 更新プログラムでトリガーされる自動化ルールを Sentinel で設定します。

Microsoft Sentinel の [所有者 ] フィールドが Defender Experts または Customer に更新されたとき。
Microsoft Sentinel の [状態] フィールドが [アクティブ] または [ クローズ済み] に更新された場合は、それぞれ Microsoft Defender XDR の [状態] と [ 進行中 ] に対応します。
Sentinel タグ待機中の顧客アクション が追加されると、これは Microsoft Defender XDR 状態待機中の顧客アクションに対応します。

次に、Microsoft Sentinel でプレイブックを設定して、インシデントの更新プログラムを自動的に同期するか、インシデント通知を他のアプリに送信します。

Defender Experts アナリストがインシデントに割り当てられている場合は、電子メール、Teams メッセージ、または Slack メッセージを SOC チームに送信します。
Defender Experts がチームの応答アクションを発行するときに、Azure Communications Services または Twilio コネクタを介して SMS または電話を SOC リーダーに送信します。
IT Ops チームの Azure DevOps、ServiceNow、Jira、ZenDesk、FreshService、PagerDuty などのアプリでタスクまたはチケットを作成します。

Sentinel から Defender Experts によって発行されたマネージド応答アクションにアクセスするにはどうすればよいですか?

Defender Experts が Microsoft Defender ポータルでインシデントのマネージド応答アクションを公開すると、[ 所有者 ] フィールドが [ 顧客 ] に自動的に更新され、Sentinel で [ 顧客アクションの待機 中] タグが使用できるようになります。これらのフィールドの変更をトリガーとして使用して、Microsoft Defender ポータルで対応するインシデントのマネージド応答パネルを確認できます。

サードパーティの SIEM、SOAR、または ITSM アプリの場合

質問	答え
Microsoft Defender XDR から Defender Experts の更新プログラムを取得して、サードパーティのセキュリティ情報とイベント管理 (SIEM)、セキュリティオーケストレーション、自動化と応答 (SOAR)、IT サービス管理 (ITSM) アプリに同期するにはどうすればよいですか?	Graph セキュリティ API (microsoft.graph.security.incident) を使用して、Microsoft Defender XDR から Defender Experts の更新プログラムを取得できます。同期プロセスを開始するには: Microsoft Defender XDR のフィールドと、目的のアプリケーション内の対応するフィールド間のマッピングを確立します。同期を一方向と双方向のどちらにするかを判断し、他のアプリケーションでサポートされていることを確認します。同期統合を開発、テスト、デプロイします。ほとんどの場合、更新プログラムを確認するために、Graph Security API を 1 分ごとに定期的にポーリングすることをお勧めします。フィールドマッピングが最新の状態であることを定期的に検証します。
Microsoft Defender ポータルで Defender Experts によって発行されたマネージド応答アクションをサードパーティの SIEM、SOAR、または ITSM アプリと同期できますか?	Defender Experts が Microsoft Defender ポータルでインシデントのマネージド応答アクションを公開すると、[ 割り当て先 ] フィールドが [顧客 ] に変更され、[ 状態] フィールドが [ 顧客アクションの待機中] に更新されます。 Graph Security API を使用してこれらのフィールドを同期し、これらの変更をトリガーとして使用して、Microsoft Defender ポータルでマネージド応答アクションを確認できます。マネージド応答アクションは、Graph Security API で今年後半に使用できるようになる予定です。この時点で、サードパーティのアプリと同期することができます。

質問

答え

Microsoft Defender XDR から Defender Experts の更新プログラムを取得して、サードパーティのセキュリティ情報とイベント管理 (SIEM)、セキュリティオーケストレーション、自動化と応答 (SOAR)、IT サービス管理 (ITSM) アプリに同期するにはどうすればよいですか?

Graph セキュリティ API (microsoft.graph.security.incident) を使用して、Microsoft Defender XDR から Defender Experts の更新プログラムを取得できます。

同期プロセスを開始するには:

Microsoft Defender XDR のフィールドと、目的のアプリケーション内の対応するフィールド間のマッピングを確立します。同期を一方向と双方向のどちらにするかを判断し、他のアプリケーションでサポートされていることを確認します。
同期統合を開発、テスト、デプロイします。ほとんどの場合、更新プログラムを確認するために、Graph Security API を 1 分ごとに定期的にポーリングすることをお勧めします。
フィールドマッピングが最新の状態であることを定期的に検証します。

Microsoft Defender ポータルで Defender Experts によって発行されたマネージド応答アクションをサードパーティの SIEM、SOAR、または ITSM アプリと同期できますか?

Defender Experts が Microsoft Defender ポータルでインシデントのマネージド応答アクションを公開すると、[ 割り当て先 ] フィールドが [顧客 ] に変更され、[ 状態] フィールドが [ 顧客アクションの待機中] に更新されます。 Graph Security API を使用してこれらのフィールドを同期し、これらの変更をトリガーとして使用して、Microsoft Defender ポータルでマネージド応答アクションを確認できます。

マネージド応答アクションは、Graph Security API で今年後半に使用できるようになる予定です。この時点で、サードパーティのアプリと同期することができます。

その他の通信サービスでは

質問	答え
Microsoft Defender XDR から電子メールで Defender Experts の更新プログラムを入手できますか?	Defender Experts アナリストがインシデントに推奨される応答アクションを公開すると、指定されたインシデントの連絡先は、Microsoft Defender ポータルの [設定]>[Defender Experts>Notification 連絡先] で指定されたメールアドレスに対応する電子メール通知を受け取ります。さらに、指定したメールアドレスにすべてのインシデント更新プログラムを自動的に送信するようにロジックアプリを構成できます。
Microsoft Teamsで Microsoft Defender XDR から Defender Experts の更新プログラムを入手できますか?	双方向チャット機能には、Microsoft Defender ポータルのインシデントのマネージド応答ポップアップパネルからアクセスできます。さらに、マネージド応答が投稿されたときに通知を受け取り、Microsoft Teams内で直接 Defender Experts とリアルタイムのチャット会話を行うことができます。 Teams の設定の詳細
Microsoft Defender XDR から Defender Experts の更新プログラムを SMS または電話の更新プログラムとして取得できますか、または Slack などのサードパーティの通信サービスで入手できますか?	Slack、Twilio、Azure Communication Services などの通信サービスから通知を送信するようにロジックアプリを構成できます。

次の方法で共有

XDR インシデント更新プログラムの Defender Experts の理解と管理

Microsoft Defender ポータルと Graph Security API で

Microsoft Sentinel で

サードパーティの SIEM、SOAR、または ITSM アプリの場合

その他の通信サービスでは

関連項目

フィードバック

フィードバック

その他のリソース

次の方法で共有

XDR インシデント更新プログラムの Defender Experts の理解と管理

Microsoft Defender ポータルと Graph Security API で

Microsoft Sentinel で

サード パーティの SIEM、SOAR、または ITSM アプリの場合

その他の通信サービスでは

関連項目

フィードバック

フィードバック

その他のリソース

サードパーティの SIEM、SOAR、または ITSM アプリの場合