アラートの修復と対応の自動化

  • 7 分

Defender for Cloud の概要ページで、ページの上部にある [Defender for Cloud] タブまたはサイドバーのリンクを選択します。

Screenshot of the Defender for Cloud Alerts list page.

[セキュリティ アラート] リストから、アラートを選択します。 作業ウィンドウが開き、アラートとその影響を受けたすべてのリソースの説明が表示されます。

Screenshot of the Defender for Cloud Alert Details Flyout.

詳細については、 [すべての詳細を表示] を選択します。

セキュリティ アラート ページの左側のウィンドウには、セキュリティ アラートに関する概要情報 (タイトル、重要度、状態、アクティビティ時間、疑わしいアクティビティの説明、影響を受けるリソース) が表示されます。 影響を受けるリソースと共に、リソースに関連する Azure タグがあります。 タグを使用して、アラートを調査するときにリソースの組織コンテキストを推測します。

右側のペインには、問題の調査に役立つアラートの詳細が含まれている [アラートの詳細] タブがあります。IP アドレス、ファイル、プロセスなど。

Screenshot of the Defender for Cloud Alert Detail page.

また、右側のペインには [アクションの実行] タブがあります。このタブを使用して、セキュリティ アラートに関するその他のアクションを実行します。 次のようなアクションがあります。

  • [Mitigate the threat](脅威の軽減) - このセキュリティ アラートに対する手動の修復手順を提供します

  • [Prevent future attacks](将来の攻撃防止) - セキュリティに関する推奨事項を提供して、攻撃対象を減らし、セキュリティ体制を強化し、将来の攻撃を防ぐことができるようにします

  • [Trigger automated response](自動応答のトリガー) - このセキュリティ アラートへの応答としてロジック アプリをトリガーするオプションを提供します

  • [Suppress similar alerts](類似のアラートの抑制) - 組織に関連しないアラートの場合、同様の特性を持つ今後のアラートを抑制するオプションを提供します

Screenshot of the Defender for Cloud Alert Take Action tab.

対応の自動化

すべてのセキュリティ プログラムには、インシデント対応のための複数のワークフローが含まれています。 これらのプロセスには、直接の利害関係者への通知、変更管理プロセスの開始、および特定の修復手順の適用が含まれます。 これらのプロシージャの手順をできるだけ多く自動化することがセキュリティの専門家によって推奨されています。 自動化によってオーバーヘッドが削減されます。 また、迅速かつ一貫した方法で、定義済みの要件に従ってプロセスの手順が実行されるようにすることで、セキュリティを向上させることもできます。

この機能では、セキュリティ アラートと推奨事項が出されたときにロジック アプリをトリガーできます。 例えば、アラートが発生したときに、ユーザーに特定のユーザーを電子メールで送信することができます。

ロジック アプリを作成し、自動的に実行するタイミングを定義する

Defender for Cloud サイドバーで、 ワークフロー自動化 を選択します。

このページで、新しい自動化ルールを作成することや、既存のものを有効化、無効化、または削除することができます。

新しいワークフローを定義するには、[ワークフロー自動化の追加] を選択します。

新しい自動化のオプションを含むウィンドウが表示されます。 ここで、以下を入力できます。

  • 自動化の名前と説明。

  • この自動ワークフローを開始するトリガー。 たとえば、"SQL" を含むセキュリティ警告が生成されたときにロジック アプリを実行することができます。

  • トリガー条件が満たされたときに実行されるロジック アプリ。

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

[アクション] セクションで、新しいものの [作成] を選択してロジック アプリの作成プロセスを開始します。

Azure Logic Apps が表示されます。

  • 名前、リソース グループ、および場所を入力し、[作成] をクリックします。

  • 新しいロジック アプリでは、セキュリティ カテゴリの組み込みの定義済みテンプレートから選択できます。 または、このプロセスがトリガーされたときに発生するイベントのカスタム フローを定義することもできます。

ロジック アプリ デザイナーでは、次の Defender for Cloud トリガーがサポートされています。

  • Defender for Cloud の推奨事項が作成またはトリガーされたとき - ロジック アプリが依存している推奨事項が非推奨になるか置き換えられると、自動化は機能しなくなります。 その場合、トリガーを更新する必要があります。 推奨事項に対する変更を追跡するには、Defender for Cloud のリリース ノートを参照してください。

  • クラウドの Defender アラートが作成またはトリガーされたとき に、対象となる重大度レベルのアラートのみに関連するようにトリガーをカスタマイズできます。

Screenshot of the Logic App U I and a sample logic app.

ロジック アプリを定義したら、ワークフローの自動化の定義ウィンドウに戻ります ([ワークフロー自動化の追加])。 [最新の情報に更新] を選択すると、新しいロジック アプリを選択できるようになります。

ロジック アプリを選択し、自動化を保存します。 ロジック アプリのドロップダウンには、前述の Defender for Cloud サポート コネクタを含むロジック アプリのみが表示されます。

ロジック アプリを手動でトリガーする

セキュリティのアラートまたは推奨事項を表示しているときに、ロジック アプリを手動で実行することもできます。

ロジック アプリを手動で実行するには、アラートまたは推奨事項を開き、[ロジック アプリのトリガー] を選択します。