Microsoft セキュリティ アラートからインシデントを自動的に作成する
Microsoft Defender for Cloud Apps や Microsoft Defender for Identity など、Microsoft Sentinel に接続されている Microsoft セキュリティ ソリューションでトリガーされたアラートによって、自動的には Microsoft Sentinel にインシデントが作成されません。 既定では、Microsoft ソリューションを Microsoft Sentinel に接続すると、そのサービスで生成されたすべてのアラートが Microsoft Sentinel ワークスペースの SecurityAlert テーブルに取り込まれて保存されます。 そのデータは、Microsoft Sentinel に取り込む他の生データと同様に使用できます。
この記事の手順に従って、接続されている Microsoft セキュリティ ソリューションでアラートがトリガーされるたびに自動的にインシデントを作成するように Microsoft Sentinel を簡単に構成できます。
重要
この記事は、次の場合は適用されません。
- Microsoft Defender XDR インシデント統合が有効化されている、または
- Microsoft Sentinel を統合セキュリティ オペレーション プラットフォームにオンボードしてある。
これらのシナリオでは、Microsoft Defender XDR は、Microsoft サービスで生成されたアラートからインシデントを作成します。
インシデント作成ルールを、Microsoft Purview インサイダー リスク管理などの Defender XDR に統合されていない Microsoft のセキュリティ ソリューションや製品に対して使用し、Defender ポータル上で統合セキュリティ オペレーション プラットフォームにオンボードする予定である場合は、インシデント作成ルールをスケジュール化された分析ルールに置き換えます。
前提条件
Microsoft Sentinel のコンテンツ ハブから適切なソリューションをインストールし、データ コネクタを設定して、セキュリティ ソリューションを接続します。 詳細については、「Microsoft Sentinel のそのまま使えるコンテンツを検出して管理する」および「Microsoft Sentinel データ コネクタ」を参照してください。
データ コネクタでインシデントの自動生成を有効にする
Microsoft セキュリティ ソリューションから生成されたアラートからインシデントを自動的に作成する最も直接的な方法は、インシデントを作成するようにソリューションのデータ コネクタを構成することです。
Microsoft セキュリティ ソリューションのデータ ソースを接続します。
[インシデントの作成] で [有効化] を選択して、接続されたセキュリティ サービスで生成されたアラートからインシデントを自動的に作成する既定の分析ルールを有効にします。 次に、 [分析] でこのルールを編集してから、 [Active rules](アクティブなルール) を選択します。
重要
このセクションが示されていない場合は、Microsoft Defender XDR コネクタでインシデント統合を有効にしているか、Microsoft Sentinel を Microsoft Defender ポータルの統合セキュリティ運用プラットフォームにオンボードされている可能性があります。
どちらの場合も、インシデントは Microsoft Sentinel ではなく Microsoft Defender 相関エンジンによって作成されるため、この記事は環境には適用されません。
Microsoft セキュリティ テンプレートからインシデント作成ルールを作成する
Microsoft Sentinel には、Microsoft Security 規則を作成するための既製のルール テンプレートが用意されています。 各 Microsoft ソース ソリューションには、独自のテンプレートがあります。 たとえば、Microsoft Defender for Endpoint 用、Microsoft Defender for Cloud 用などがあります。 環境内のソリューションに対応する各テンプレートから、インシデントを自動的に作成するルールを作成します。 ルールを変更して、インシデントを発生させるアラートをフィルター処理するためのより具体的なオプションを定義します。 たとえば、Microsoft Defender for Identity からの重大度の高いアラートからのみ、Microsoft Sentinel インシデントを自動的に作成するように選択できます。
Microsoft Sentinel ナビゲーション メニューの [構成] で、[分析] を選択します。
[ルール テンプレート] タブを選択して、分析ルール テンプレートをすべて表示します。 その他のルール テンプレートを探すには、Microsoft Sentinel のコンテンツ ハブに移動します。
Microsoft Security 規則の種類の一覧を フィルター処理して、Microsoft アラートからインシデントを作成するための分析ルール テンプレートを表示します。
インシデントを作成するアラート ソースのルール テンプレートを選択します。 詳細ウィンドウで、[ルールの作成] を選択します。
ルールの詳細を変更して、アラートの重要度またはアラートの名前に含まれるテキストでインシデントを作成するアラートをフィルター処理するように選択できます。
たとえば、[Microsoft Security サービス] フィールドで [Microsoft Defender for Identity] を選択し、[重要度でフィルター処理] フィールドで [高] を選択した場合、重要度が高いセキュリティ アラートのみ Microsoft Sentinel にインシデントが自動的に作成されます。
他の種類の分析ルールと同様に、[自動応答] タブを選択して、このルールによってインシデントが作成されたときに実行される自動化ルールを定義します。
インシデント作成ルールをゼロから作成する
また、さまざまな Microsoft Security サービスからのアラートをフィルター処理する新しい Microsoft Security 規則を作成することもできます。 分析ページで、[Microsoft インシデント作成ルール]の[作成]> を選択 します。
Microsoft セキュリティ サービスの種類ごとに、複数の Microsoft セキュリティ分析ルールを作成できます。 これにより、互いを除外する各ルールにフィルターを適用した場合、重複するインシデントは作成されません。
次のステップ
- Microsoft Sentinel を使用するには、Microsoft Azure のサブスクリプションが必要です。 サブスクリプションがない場合は、 無料試用版にサインアップできます。
- データを Microsoft Sentinel にオンボードし、データや潜在的な脅威を視覚化する方法を説明します。