Microsoft Defender でインシデントを管理する
適用対象:
- Microsoft Defender XDR
- Microsoft Defender 統合セキュリティ オペレーション センター (SOC) プラットフォーム
インシデント管理は、インシデントの名前付け、割り当て、タグ付けを行い、インシデント ワークフローの時間を最適化し、脅威をより迅速に含めて対処するために重要です。
インシデント & アラート > インシデントからのインシデント は、Microsoft Defender ポータル (security.microsoft.com) のクイック 起動で管理できます。 次に例を示します。
インシデントを管理する方法を次に示します。
- インシデント名を編集します。
- 重大度を割り当てるか変更します。
- インシデント タグを追加します。
- インシデントをユーザー アカウントに割り当てます。
- それらを解決します。
- 分類を指定します。
- コメントを追加します。
- アクティビティ監査を評価し、 アクティビティ ログにコメントを追加します。
- インシデント データを PDF にエクスポートします。
インシデントを管理するには、インシデント用の[インシデントの管理] ウィンドウから行います。 次に例を示します。
このウィンドウは、次の場所にある [ インシデントの管理 ] リンクから表示できます。
- アラート ストーリー ページ。
- インシデント キュー内のインシデントの [プロパティ] ウィンドウ。
- インシデントの概要ページ。
- [インシデント] ページの右上にある [インシデントの管理] オプション。
あるインシデントから別のインシデントにアラートを移動する場合は、[ アラート ] タブからアラートを移動して、関連するすべてのアラートを含む大小のインシデントを作成することもできます。
インシデント名を編集する
Microsoft Defender は、影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどのアラート属性に基づいて、自動的に名前を割り当てます。 インシデント名を使用すると、インシデントのスコープをすばやく理解できます。 たとえば、 複数のソースによって報告された複数のエンドポイントに対するマルチステージ インシデント。
インシデント名は、[インシデントの管理] ウィンドウの [インシデント名] フィールドから編集できます。
注:
自動インシデントの名前付け機能のロールアウト前に存在していたインシデントは、その名前を保持します。
インシデントの重大度の割り当てまたは変更
インシデントの重大度は、[インシデントの管理] ウィンドウの [重大度] フィールドから割り当てたり変更したりできます。 インシデントの重大度は、それに関連付けられているアラートの重大度が最も高いものによって決まります。 インシデントの重大度は、 高、 中、 低、または 情報に設定できます。
インシデント タグを追加する
共通した特徴を持つインシデントのグループにフラグを設定するなど、インシデントにカスタム タグを追加できます。 こうすることで、特定のタグを含むすべてのインシデントのインシデント キューを後からフィルター処理できます。
入力を開始すると、以前に使用したタグと選択したタグの一覧から選択するオプションが表示されます。
インシデントには、特定の色の背景を持つシステム タグやカスタム タグを含めることができます。 カスタム タグでは白の背景が使用され、システム タグでは通常、赤または黒の背景色が使用されます。 システム タグは、インシデント内の次の情報を識別します。
- 資格情報フィッシングや BEC 詐欺などの攻撃の種類
- 自動調査や対応、自動攻撃の中断などの自動アクション
- インシデントを処理する Defender エキスパート
- インシデントに関連する重要な資産
ヒント
Microsoft のセキュリティ公開管理は、定義済みの分類に基づいて、デバイス、ID、クラウド リソースを 重要な資産として自動的にタグ付けします。 このすぐに使える機能により、組織の貴重で最も重要な資産の保護が保証されます。 また、セキュリティ運用チームが調査と修復の優先順位を付けるのにも役立ちます。 重要な資産管理について詳しく知る。
インシデントを割り当てる
[ 割り当て先 ] ボックスを選択し、インシデントを割り当てるユーザー アカウントを指定できます。 インシデントを再割り当てするには、アカウント名の横にある [x] を選択して現在の割り当てアカウントを削除し、[ 割り当て先 ] ボックスを選択します。 インシデントの所有権を割り当てると、それに関連付けられているすべてのアラートに同じ所有権が割り当てられます。
インシデント キューをフィルター処理することで、割り当てられたインシデントの一覧を取得できます。
- インシデント キューから [フィルター] を選択 します。
- [ インシデントの割り当て ] セクションで、[ すべて選択] をオフにします。 [ 自分に割り当て]、[ 別のユーザーに割り当て]、または [ ユーザー グループに割り当て] を選択します。
- [ 適用] を選択し、[ フィルター ] ウィンドウを閉じます。
その後、ブラウザーに結果の URL をブックマークとして保存して、割り当てられたインシデントの一覧をすばやく表示できます。
インシデントを解決する
インシデントの修復時にトグルを右に移動するには、[ インシデントの解決 ] を選択します。 インシデントを解決すると、インシデントに関連するすべてのリンクされたアクティブなアラートも解決されます。
解決されていないインシデントは、 アクティブとして表示されます。
分類を指定する
[ 分類 ] フィールドで、インシデントが次の場合を指定します。
- 設定されていません (既定値)。
- 脅威 の種類を持つ真陽性。 この分類は、実際の脅威を正確に示すインシデントに使用します。 脅威の種類を指定すると、セキュリティ チームは脅威パターンを確認し、組織を防御するために行動できます。
- アクティビティの種類を持つ情報に関する、予期されるアクティビティ。 このカテゴリのオプションを使用して、セキュリティ テスト、赤いチーム アクティビティ、および信頼されたアプリとユーザーからの予期される異常な動作のインシデントを分類します。
- 特定したインシデントの種類に対する誤検知は、技術的に不正確または誤解を招くため無視できます。
インシデントを分類し、その状態と種類を指定すると、Microsoft Defender XDR を調整して、時間の経過に伴う検出の判断が向上します。
コメントを追加する
[コメント] フィールドを使用して、インシデントに複数の コメント を追加できます。 コメント フィールドは、テキストと書式設定、リンク、および画像をサポートします。 各コメントは 30,000 文字に制限されています。
すべてのコメントは、インシデントの履歴イベントに追加されます。 インシデントのコメントと履歴は、[概要] ページの [コメントと履歴] リンクから確認できます。
アクティビティ ログ
アクティビティ ログには、インシデントに対して実行されたすべてのコメントとアクション (監査とコメント) の一覧が表示されます。 インシデントに加えられたすべての変更は、ユーザーまたはシステムによって行われ、アクティビティ ログに記録されます。 アクティビティ ログは、インシデント ページまたはインシデント側ウィンドウの [アクティビティ ログ ] オプションから使用できます。
ログ内のアクティビティをコメントとアクションでフィルター処理できます。 [ コンテンツ: 監査]、[コメント ] の順にクリックし、アクティビティをフィルター処理するコンテンツ タイプを選択します。 次に例を示します。
アクティビティ ログ内で使用できるコメント ボックスを使用して、独自のコメントを追加することもできます。 コメント ボックスは、テキストと書式設定、リンク、および画像を受け入れます。
インシデント データを PDF にエクスポートする
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
現在、エクスポート インシデント データ機能は、Microsoft Defender XDR と Microsoft Defender 統合セキュリティ オペレーション センター (SOC) プラットフォームのお客様がセキュリティ ライセンス用 Microsoft Copilot を使用して利用できます。
インシデントのデータを PDF 形式でエクスポートするには、[インシデントを PDF としてエクスポート ] 関数を使用して PDF に保存します。 この関数を使用すると、セキュリティ チームは、インシデントの詳細をいつでもオフラインで確認できます。
エクスポートされたインシデント データには、次の情報が含まれます。
- インシデントの詳細を含む概要
- 攻撃ストーリー グラフと脅威カテゴリ
- 影響を受ける 資産は、資産の種類ごとに最大 10 個の資産をカバーします
- 最大 100 項目をカバーする証拠リスト
- アクティビティ ログに記録されたすべての関連アラートとアクティビティを含む、サポート データ
エクスポートされた PDF の例を次に示します。
Copilot for Security ライセンスをお持ちの場合、エクスポートされた PDF には次の追加のインシデント データが含まれます。
PDF へのエクスポート機能は、生成されたインシデント レポートの Copilot 側パネルでも使用できます。
PDF を生成するには、次の手順を実行します。
インシデント ページを開きます。 右上隅にある [ その他のアクション ] 省略記号 (...) を選択し、[ インシデントを PDF としてエクスポート] を選択します。 PDF の生成中に関数が淡色表示されます。
PDF が生成されていることを示すダイアログ ボックスが表示されます。 [ 取得 ] を選択してダイアログ ボックスを閉じます。 さらに、ダウンロードの現在の状態を示すステータス メッセージがインシデント タイトルの下に表示されます。 エクスポート プロセスは、インシデントの複雑さとエクスポートするデータの量によっては数分かかる場合があります。
PDF の準備が整うと、状態メッセージは PDF の準備が完了し、別のダイアログ ボックスが表示されることを示します。 ダイアログ ボックスから [ ダウンロード ] を選択して、PDF をデバイスに保存します。
レポートは数分キャッシュされます。 短い期間内に同じインシデントを再度エクスポートしようとすると、以前に生成された PDF が提供されます。 新しいバージョンの PDF を生成するには、キャッシュの有効期限が切れるまで数分待ちます。
次の手順
新しいインシデントの場合は、 調査を開始します。
インプロセス インシデントの場合は、 調査を続行します。
解決されたインシデントの場合は、 インシデント後のレビューを実行します。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示