次の方法で共有

Azure portal で Microsoft Sentinel インシデントのナビゲート、トリアージ、管理を行う

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal

この記事では、Azure portal でインシデント間を移動し、その基本的なトリアージを行う方法について説明します。

前提条件

  • インシデントを調査するには、Microsoft Sentinel レスポンダー ロールの割り当てが必要です。

    詳細については、Microsoft Sentinel のロールに関する記事を参照してください。

  • インシデントを割り当てる必要があるゲスト ユーザーがいる場合は、そのユーザーに Microsoft Entra テナントのディレクトリ閲覧者ロールを割り当てる必要があります。 通常の (ゲスト以外の) ユーザーには、既定でこのロールが割り当てられます。

  1. Microsoft Sentinel のナビゲーション メニューから、[脅威の管理] の下にある [インシデント] を選びます。

    [インシデント] ページには、未解決のすべてのインシデントに関する基本情報が表示されます。 次に例を示します。

    インシデントの重要度のビューを示すスクリーンショット。

    • 画面の上部にあるツール バーには、特定のインシデントの外部で (グリッド全体、または選んだ複数のインシデントに対して) 実行できるアクションが表示されます。 また、未解決のインシデント数 (新規またはアクティブ) と、重要度別の未解決のインシデント数も表示されます。

    • 中央のウィンドウには、一覧の先頭にあるフィルター処理コントロールでフィルター処理されたインシデントの一覧であるインシデント グリッドと、特定のインシデントを検索するための検索バーがあります。

    • 横には詳細ウィンドウがあり、中央の一覧で強調表示されているインシデントに関する重要な情報と、そのインシデントに対して特定のアクションを実行するためのボタンが表示されます。

  2. セキュリティ オペレーション チームによって、新しいインシデントに対して基本的なトリアージを実行し、適切な担当者に割り当てるためのオートメーション ルールが設けられている場合があります。

    その場合は、インシデント一覧を所有者でフィルター処理して、一覧を自分または自分のチームに割り当てられたインシデントに絞り込みます。 このフィルター処理されたセットは自分個人のワークロードを表します。

    また、自分で基本的なトリアージを実行することもできます。 まず、状態、重大度、製品名など、使用できるフィルター処理条件で、インシデントの一覧をフィルター処理します。 詳細については、「インシデントを検索する」を参照してください。

  3. [インシデント] ページの詳細ウィンドウから直接、特定のインシデントをトリアージして、すぐに初期対応を実行できます。インシデントの詳細ページに移動する必要はありません。 次に例を示します。

    • Microsoft Defender XDR で Microsoft Defender XDR インシデントを調査する: Microsoft Defender XDR での調査のリンクをクリックし、Defender ポータルで並行インシデントを特定します。 Microsoft Defender XDR でインシデントに行ったすべての変更は、Microsoft Sentinel の同じインシデントに同期されます。

    • 割り当てられたタスクの一覧を開く: タスクが割り当てられているインシデントには、完了したタスクと合計タスクの数と、[すべての詳細を表示] リンクが表示されます。 リンクをクリックすると [インシデント タスク] ページが開き、このインシデントのタスク一覧が表示されます。

    • ユーザーまたはグループにインシデントの所有権を割り当てるには、[所有者] ドロップダウン リストから選びます。

      インシデントをユーザーに割り当てるスクリーンショット。

      最近選んだユーザーとグループが、図のドロップダウン リストの先頭に表示されます。

    • インシデントの状態を更新するには、[状態] ドロップダウン リストから選びます (たとえば、"新規" から "アクティブ" または "クローズ済み" など)。 インシデントを終了するときは、理由を指定する必要があります。 詳しくは、「インシデントを終了する」をご覧ください。

    • インシデントの重要度を変更するには、[重要度] ドロップダウン リストから選びます。

    • インシデントを分類するには、タグを追加します。 必要に応じて詳細ウィンドウの一番下までスクロールして、タグを追加する場所を表示します。

    • アクション、アイデア、疑問などを記録するには、コメントを追加します。 必要に応じて詳細ウィンドウの一番下までスクロールして、コメントを追加する場所を表示します。

  4. 修復または軽減アクションをさらに行うのに十分な情報が詳細ウィンドウに表示されたら、下部にある [アクション] ボタンを選んで、以下のいずれかを実行します。

    アクション 説明
    調査 グラフィカル調査ツールを使って、このインシデント内と他のインシデントも含む全体の両方について、アラート、エンティティ、アクティビティ間の関係を検出します。
    プレイブックの実行 このインシデントに対してプレイブックを実行し、特定のエンリッチメント、コラボレーション、対応アクション (SOC エンジニアが用意したものなど) を行います。
    オートメーション ルールの作成 将来の作業負荷を減らすため、または要件の一時的な変更 (侵入テストなど) を考慮して、今後、このような (同じ分析ルールによって生成された) インシデントに対してのみ実行されるオートメーション ルールを作成します。
    チームの作成 (プレビュー) 複数の部門にまたがって他のユーザーやチームと協力してインシデントに対応するため、Microsoft Teams でチームを作成します。

    次に例を示します。

    詳細ウィンドウからインシデントに対して実行できるアクションのメニューのスクリーンショット。

  5. インシデントの詳細情報が必要な場合は、詳細ウィンドウで [View full details] (詳細の表示) を選び、インシデントのアラートやエンティティ、似たインシデントの一覧、選ばれた上位の分析情報など、インシデントの詳細を開き、全体を確認します。

インシデントを検索する

特定のインシデントをすばやく検索するには、インシデント グリッドの上にある検索ボックスに検索文字列を入力して Enter キーを押し、表示されるインシデントの一覧を適切に変更します。 目的のインシデントが結果に含まれていない場合は、[高度な検索] オプションを使って検索を絞り込むことができます。

検索パラメーターを変更するには、 [検索] ボタンを選択し、検索を実行するパラメーターを選択します。

次に例を示します。

インシデント検索ボックスと、基本的または高度な検索オプションを選択するためのボタンのスクリーンショット。

既定では、インシデントの検索は、インシデント IDタイトルタグ所有者、および製品名の値に対してのみ実行されます。 検索ペインで、一覧を下にスクロールして検索する他のパラメーターを 1 つ以上選択し、 [適用] を選択して検索パラメーターを更新します。 [既定値として設定] を選択すると、選択されているパラメーターが既定のオプションにリセットされます。

注意

[所有者] フィールドの検索では、名前とメール アドレスの両方がサポートされます。

高度な検索オプションを使用すると、検索動作が次のように変更されます。

検索動作 説明
検索ボタンの色 検索で現在使用されているパラメーターの種類に応じて、検索ボタンの色が変わります。
  • 既定のパラメーターだけが選択されている場合、ボタンは灰色になります。
  • 高度な検索パラメーターなど、異なるパラメーターが選択されるとすぐに、ボタンは青に変ります。
自動更新 高度な検索パラメーターを使用すると、結果の自動更新を選択できなくなります。
エンティティ パラメーター 高度な検索では、すべてのエンティティ パラメーターがサポートされています。 任意のエンティティ パラメーターで検索すると、すべてのエンティティ パラメーターで検索が実行されます。
検索文字列 単語の文字列を検索すると、検索クエリ内のすべての単語が含まれます。 検索文字列では大文字と小文字が区別されます
クロス ワークスペースのサポート クロスワークスペース ビューでは、高度な検索はサポートされていません。
表示される検索結果の数 高度な検索パラメーターを使用している場合、一度に表示される結果は 50 件のみです。

ヒント

探しているインシデントが見つからない場合は、検索パラメーターを削除して検索を広げます。 検索結果の項目が多すぎる場合は、さらにフィルターを追加して結果を絞り込みます。

インシデントを終了する

特定のインシデントを解決したら (調査が結論に達した場合など)、インシデントの状態を [終了] に設定します。 そのとき、インシデントを終了する理由を指定して、インシデントを分類するよう求められます。 この手順は必須です。

[分類の選択] を選び、ドロップダウン リストから次のいずれかを選びます。

  • 真陽性 - 疑わしいアクティビティ
  • 無害な陽性 - 不審ですが、予期されています
  • 擬陽性 - アラート ロジックが正しくありません
  • 擬陽性 - データが正しくありません
  • [Undetermined](不明)

[分類の選択] リストで使用できる分類が強調表示されているスクリーンショット。

偽陽性と真陽性について詳しくは、「Microsoft Azure Sentinel での偽陽性の処理」を参照してください。

適切な分類を選択した後、 [コメント] フィールドに説明文を追加します。 これは、このインシデントを参照する必要がある場合に役立ちます。 終えて [適用] をクリックすると、インシデントが終了されます。

インシデントを終了しているスクリーンショット。

次のステップ

詳しくは、「Azure portal で Microsoft Sentinel インシデントを詳細に調査する」をご覧ください