Microsoft Defender ポータルでのアラートの関連付けとインシデントのマージ
この記事では、Microsoft Defender ポータルの関連付けエンジンが、生成するすべてのソースから収集されたアラートを集計し、それらをポータルに送信する方法について説明します。 Defender がこれらのアラートからインシデントを作成する方法と、その進化を監視し続け、状況が必要な場合にインシデントをマージする方法について説明します。 アラートとそのソースの詳細、およびインシデントがMicrosoft Defender ポータルで価値を追加する方法の詳細については、Microsoft Defender ポータルのインシデントとアラートに関するページを参照してください。
インシデントの作成とアラートの関連付け
Microsoft Defender ポータルの「インシデントとアラート」で説明されているように、Microsoft Defender ポータルのさまざまな検出メカニズムによってアラートが生成されると、次のロジックに従って新しいインシデントまたは既存のインシデントに配置されます。
- 特定の時間枠内のすべてのアラート ソースでアラートが十分に一意である場合、Defender は新しいインシデントを作成してアラートを追加します。
- 特定の期間内に、同じソースまたはソース間の他のアラートにアラートが十分に関連している場合、Defender はアラートを既存のインシデントに追加します。
1 つのインシデントでアラートを相互に関連付けるために Defender ポータルで使用される条件は、独自の内部相関ロジックの一部です。 このロジックは、新しいインシデントに適切な名前を付ける役割も担います。
アラートの手動関連付け
Microsoft Defenderは既に高度な相関メカニズムを使用していますが、特定のアラートが特定のインシデントに属しているかどうかを異なる方法で決定する必要がある場合があります。 このような場合は、あるインシデントからアラートのリンクを解除し、別のインシデントにリンクできます。 すべてのアラートはインシデントに属している必要があるため、アラートを別の既存のインシデントにリンクするか、その場で作成した新しいインシデントにリンクできます。
1 つのインシデントから別のインシデントにアラートを移動する方法の詳細については、Microsoft Defender ポータルの「インシデント間でアラートを移動する」を参照してください。
インシデントの相関関係とマージ
Defender ポータルの関連付けアクティビティは、インシデントの作成時に停止しません。 Defender は、インシデント間の共通点と関係とインシデント間のアラートを引き続き検出します。 2 つ以上のインシデントが十分に同じであると判断された場合、Defender はインシデントを 1 つのインシデントにマージします。
インシデントをマージするための条件
Defender の相関エンジンは、データと攻撃動作に関する深い知識に基づいて、個別のインシデント内のアラート間の一般的な要素を認識すると、インシデントをマージします。 これらの要素の一部は次のとおりです。
- エンティティ - ユーザー、デバイス、メールボックスなどの資産
- 成果物 - ファイル、プロセス、電子メールの送信者など
- タイム フレーム
- マルチステージ攻撃を指す一連のイベント (フィッシングメール検出に密接に続く悪意のあるメール クリック イベントなど)。
マージ プロセスの詳細
2 つ以上のインシデントがマージされると、それらを吸収するための新しいインシデントは作成 されません 。 代わりに、1 つのインシデント ( "ソース インシデント") の内容がもう一方のインシデント ( "ターゲット インシデント") に移行され、ソース インシデントが自動的に閉じられます。 ソース インシデントは Defender ポータルで表示または使用できなくなり、その参照はターゲット インシデントにリダイレクトされます。 ソース インシデントは閉じられていますが、Azure portalのMicrosoft Sentinelでアクセス可能なままになります。
マージ方向
インシデントマージの方向は、どのインシデントがソースであり、どのインシデントがターゲットであるかを示します。 この方向は、情報の保持とアクセスを最大化することを目的として、独自の内部ロジックに基づいて、Microsoft Defenderによって決定されます。 ユーザーには、この決定に対する入力がありません。
インシデントの内容
インシデントの内容は、次の方法で処理されます。
- ソース インシデントに含まれるすべてのアラートは、ソース インシデントから削除され、ターゲット インシデントに追加されます。
- ソース インシデントに適用されたすべてのタグは、ソース インシデントから削除され、ターゲット インシデントに追加されます。
-
Redirectedタグがソース インシデントに追加されます。 - エンティティ (アセットなど) は、リンク先のアラートに従います。
- ソース インシデントの作成に関連して記録された分析ルールは、ターゲット インシデントに記録されたルールに追加されます。
- 現時点では、ソース インシデントのコメントとアクティビティ ログ エントリはターゲット インシデントに移動 されません 。
ソース インシデントのコメントとアクティビティ履歴を表示するには、Azure portalのMicrosoft Sentinelでインシデントを開きます。 アクティビティ履歴には、インシデントの終了、インシデントのマージに関連するアラート、タグ、その他の項目の追加と削除が含まれます。 これらのアクティビティは、ID Microsoft Defender XDR - アラートの相関関係に起因します。
インシデントがマージされない場合
相関ロジックが 2 つのインシデントをマージする必要があることを示している場合でも、Defender は次の状況ではインシデントをマージしません。
- いずれかのインシデントの状態が "Closed" です。 解決されたインシデントは再び開かれない。
- ソース インシデントとターゲット インシデントは、2 人の異なるユーザーに割り当てられます。
- ソース インシデントとターゲット インシデントには、2 つの異なる分類があります (たとえば、真陽性と偽陽性)。
- 2 つのインシデントをマージすると、ターゲット インシデント内のエンティティの数が許可された最大値を超えます。
- 2 つのインシデントには、organizationによって定義された異なるデバイス グループ内のデバイスが含まれています。
(この条件は既定では有効ではありません。有効にする必要があります)。
次の手順
インシデントの優先順位付けと管理の詳細については、次の記事を参照してください。
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。