Microsoft Defender ポータルでのアラートの関連付けとインシデントのマージ
この記事では、Microsoft Defender ポータルがそれらを生成するすべてのソースから収集してポータルに送信するアラートを集計し、関連付ける方法について説明します。 Defender がこれらのアラートからインシデントを作成する方法と、その進化を監視し続け、状況が必要な場合にインシデントをマージする方法について説明します。 アラートとそのソースの詳細、およびインシデントがMicrosoft Defender ポータルで価値を追加する方法の詳細については、Microsoft Defender ポータルのインシデントとアラートに関するページを参照してください。
インシデントの作成とアラートの関連付け
Microsoft Defender ポータルの「インシデントとアラート」で説明されているように、Microsoft Defender ポータルのさまざまな検出メカニズムによってアラートが生成されると、次のロジックに従って新しいインシデントまたは既存のインシデントに配置されます。
- 特定の時間枠内のすべてのアラート ソースでアラートが十分に一意である場合、Defender は新しいインシデントを作成してアラートを追加します。
- 特定の期間内に、同じソースまたはソース間の他のアラートにアラートが十分に関連している場合、Defender はアラートを既存のインシデントに追加します。
1 つのインシデントでアラートを相互に関連付けるために Defender ポータルで使用される条件は、独自の内部相関ロジックの一部です。 このロジックは、新しいインシデントに適切な名前を付ける役割も担います。
インシデントの相関関係とマージ
Defender ポータルの関連付けアクティビティは、インシデントの作成時に停止しません。 Defender は、インシデント間とインシデント間のアラート間の共通点と関係を引き続き検出します。 2 つ以上のインシデントが十分に同じであると判断された場合、Defender はインシデントを 1 つのインシデントにマージします。
インシデントをマージするための条件
Defender の相関エンジンは、データと攻撃動作に関する深い知識に基づいて、個別のインシデント内のアラート間の一般的な要素を認識すると、インシデントをマージします。 これらの要素の一部は次のとおりです。
- エンティティ - ユーザー、デバイス、メールボックスなどの資産
- 成果物 - ファイル、プロセス、電子メールの送信者など
- タイム フレーム
- マルチステージ攻撃を指す一連のイベント (フィッシングメール検出に密接に続く悪意のあるメール クリック イベントなど)。
マージ プロセスの結果
2 つ以上のインシデントがマージされると、それらを吸収するための新しいインシデントは作成されません。 代わりに、1 つのインシデントの内容が他のインシデントに移行され、プロセスで破棄されたインシデントが自動的に閉じられます。 破棄されたインシデントは Defender ポータルで表示または使用できなくなり、そのインシデントへの参照は統合インシデントにリダイレクトされます。 破棄された閉鎖されたインシデントは、Azure portalのMicrosoft Sentinelで引き続きアクセスできます。 インシデントの内容は、次の方法で処理されます。
- 破棄されたインシデントに含まれるアラートは、そこから削除され、統合インシデントに追加されます。
- 破棄されたインシデントに適用されたすべてのタグが削除され、統合インシデントに追加されます。
- 破棄されたインシデントに
Redirectedタグが追加されます。 - エンティティ (アセットなど) は、リンク先のアラートに従います。
- 破棄されたインシデントの作成に関連して記録された分析ルールは、統合インシデントに記録されたルールに追加されます。
- 現時点では、破棄されたインシデントのコメントとアクティビティ ログ エントリは統合インシデントに移動 されません 。
破棄されたインシデントのコメントとアクティビティ履歴を表示するには、Azure portalのMicrosoft Sentinelでインシデントを開きます。 アクティビティ履歴には、インシデントの終了、インシデントのマージに関連するアラート、タグ、その他の項目の追加と削除が含まれます。 これらのアクティビティは、ID Microsoft Defender XDR - アラートの相関関係に起因します。
インシデントがマージされない場合
相関ロジックが 2 つのインシデントをマージする必要があることを示している場合でも、Defender は次の状況ではインシデントをマージしません。
- いずれかのインシデントの状態が "Closed" です。 解決されたインシデントは再び開かれない。
- マージの対象となる 2 つのインシデントは、2 人の異なるユーザーに割り当てられます。
- 2 つのインシデントをマージすると、マージされたインシデント内のエンティティの数が、インシデントごとに許可される最大 50 個のエンティティを超える数になります。
- 2 つのインシデントには、organizationによって定義された異なるデバイス グループ内のデバイスが含まれています。
(この条件は既定では有効ではありません。有効にする必要があります)。
手動の関連付け
Microsoft Defenderは既に高度な相関メカニズムを使用していますが、特定のアラートが特定のインシデントに属しているかどうかを異なる方法で決定する必要がある場合があります。 このような場合は、あるインシデントからアラートのリンクを解除し、別のインシデントにリンクできます。 すべてのアラートはインシデントに属している必要があるため、アラートを別の既存のインシデントにリンクするか、その場で作成した新しいインシデントにリンクできます。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。
次の手順
インシデントの優先順位付けと管理の詳細については、次の記事を参照してください。