Microsoft Defender XDRのMicrosoft Defender for Office 365からインシデントとアラートを管理する
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Microsoft Defender XDRのインシデントは、関連付けられたアラートと、攻撃の完全なストーリーを定義する関連データのコレクションです。 Defender for Office 365アラート、自動調査と対応 (AIR)、調査の結果は、https://security.microsoft.com/incidentsのMicrosoft Defender XDRの [インシデント] ページでネイティブに統合され、関連付けられます。 このページは 、インシデント キューと参照します。
アラートは、悪意のあるアクティビティや疑わしいアクティビティがエンティティ (メール、ユーザー、メールボックスなど) に影響を与える場合に作成されます。 アラートは、進行中または完了した攻撃に関する貴重な分析情報を提供します。 ただし、進行中の攻撃は複数のエンティティに影響を与える可能性があり、その結果、異なるソースから複数のアラートが発生する可能性があります。 一部の組み込みアラートでは、AIR プレイブックが自動的にトリガーされます。 これらのプレイブックでは、一連の調査手順を実行して、影響を受ける他のエンティティや疑わしいアクティビティを探します。
Microsoft Defender XDRでMicrosoft Defender for Office 365アラートを管理する方法については、この短いビデオをご覧ください。
Defender for Office 365アラート、調査、およびそのデータは自動的に関連付けられます。 リレーションシップが決定されると、システムはインシデントを作成して、セキュリティ チームに攻撃全体を可視化します。
SecOps チームは、https://security.microsoft.com/incidentsのインシデント キューのDefender for Office 365からのインシデントとアラートを管理することを強くお勧めします。 この方法には、次の利点があります。
管理の複数のオプション:
- 優先順位付け
- フィルター処理
- 分類
- タグ管理
インシデントをキューから直接受け取るか、他のユーザーに割り当てることができます。 コメントとコメント履歴は、進行状況の追跡に役立ちます。
攻撃がMicrosoft Defender*によって保護されている他のワークロードに影響を与える場合、関連するアラート、調査、およびそれらのデータも同じインシデントに関連付けられます。
*Microsoft Defender for Endpoint、Microsoft Defender for Identity、およびMicrosoft Defender for Cloud Apps。
ロジックはシステムによって提供されるため、複雑な相関ロジックは必要ありません。
相関ロジックがニーズを完全に満たしていない場合は、既存のインシデントにアラートを追加するか、新しいインシデントを作成できます。
関連するDefender for Office 365アラート、AIR 調査、調査からの保留中のアクションは、インシデントに自動的に追加されます。
AIR 調査で脅威が検出されない場合、システムは関連するアラートを自動的に解決します。インシデント内のすべてのアラートが解決されると、インシデントの状態も [解決済み] に変わります。
関連する証拠と対応アクションは、インシデントの [ 証拠と応答 ] タブで自動的に集計されます。
セキュリティ チーム メンバーは、インシデントから直接対応アクションを実行できます。 たとえば、メールボックス内のメールを論理的に削除したり、メールボックスから不審な受信トレイ ルールを削除したりできます。
推奨されるメール アクションは、悪意のあるメールの最新の配信場所がクラウド メールボックスである場合にのみ作成されます。
保留中の電子メール アクションは、最新の配信場所に基づいて更新されます。 電子メールが手動アクションによって既に修復されている場合は、その状態が反映されます。
推奨されるアクションは、最も重要な脅威と判断された電子メール クラスターと電子メール クラスターに対してのみ作成されます。
- マルウェア
- 高確度のフィッシング
- 悪意のある URL
- 悪意のあるファイル
注:
インシデントは静的イベントを表すだけではありません。 また、時間の経過と同時に発生する攻撃ストーリーも表します。 攻撃が進行すると、新しいDefender for Office 365アラート、AIR 調査、およびそれらのデータが既存のインシデントに継続的に追加されます。
https://security.microsoft.com/incidentsのMicrosoft Defender ポータルの [インシデント] ページでインシデントを管理します。
![Microsoft Defender ポータルの [インシデント] ページ。](media/mdo-sec-ops-incidents.png#lightbox)
![Microsoft Defender ポータルの [インシデント] ページの詳細ポップアップ。](media/mdo-sec-ops-incident-details.png#lightbox)
![Microsoft Defender ポータルの [インシデント] ページでポップアップをフィルター処理します。](media/mdo-sec-ops-incident-filters.png#lightbox)
![Microsoft Defender ポータルのインシデントの詳細の [概要] タブ。](media/mdo-sec-ops-incident-summary-tab.png#lightbox)
![Microsoft Defender ポータルのインシデントの詳細の [証拠とアラート] タブ。](media/mdo-sec-ops-incident-evidence-and-response-tab.png#lightbox)
https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2FsentinelのMicrosoft Sentinelの [インシデント] ページでインシデントを管理します。
![Microsoft Sentinelの [インシデント] ページ。](media/mdo-sec-ops-microsoft-sentinel-incidents.png#lightbox)
実行する応答アクション
セキュリティ チームは、Defender for Office 365 ツールを使用して、電子メールに対してさまざまな応答アクションを実行できます。
メッセージは削除できますが、電子メールで次のアクションを実行することもできます。
- 受信トレイに移動する
- 迷惑メールに移動する
- 削除済みアイテムに移動する
- 論理的な削除
- ハード削除。
これらのアクションは、次の場所から実行できます。
- [インシデント] ページのインシデントの詳細にある [証拠と応答] タブhttps://security.microsoft.com/incidents (推奨)。
- https://security.microsoft.com/threatexplorerでの脅威のエクスプローラー。
- https://security.microsoft.com/action-center/pendingの統合アクション センター。
脅威エクスプローラーの [調査のトリガー] アクションを使用して、任意の電子メール メッセージで AIR プレイブックを手動で開始できます。
Threat エクスプローラー または管理者の申請を使用して、誤検知または偽陰性の検出を Microsoft に直接報告できます。
テナント許可/ブロック リストを使用して、検出されない悪意のあるファイル、URL、または送信者をブロックできます。
Defender for Office 365のアクションはハンティング エクスペリエンスにシームレスに統合され、アクションの履歴は、https://security.microsoft.com/action-center/historyの統合されたアクション センターの [履歴] タブに表示されます。
アクションを実行する最も効果的な方法は、Microsoft Defender XDRの Incidents と組み込みの統合を使用することです。 AIR によって推奨されたアクションは、Microsoft Defender XDRのインシデントの [証拠と対応] タブのDefender for Office 365で承認できます。 このタックアクションの方法は、次の理由で推奨されます。
- 完全な攻撃ストーリーを調査します。
- Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Cloud Appsなど、他のワークロードとの組み込みの相関関係の恩恵を受けることができます。
- 1 か所からメールに対してアクションを実行します。
手動調査またはハンティング アクティビティの結果に基づいて、電子メールに対してアクションを実行します。 脅威エクスプローラーを使用すると、セキュリティ チーム メンバーは、クラウド メールボックスにまだ存在する可能性があるメール メッセージに対してアクションを実行できます。 ユーザーは、organization内のユーザー間で送信された組織内のメッセージに対してアクションを実行できます。 脅威エクスプローラーデータは過去 30 日間使用できます。
この短いビデオでは、Microsoft Defender XDR Defender for Office 365など、さまざまな検出ソースからのアラートをインシデントに結合する方法について説明します。