Microsoft Defender ポータルでのインシデントとアラート
Microsoft Defender ポータルには、セキュリティの脅威に対する露出を減らし、組織のセキュリティ体制を改善し、セキュリティ上の脅威を検出し、侵害に対する調査と対応を行う、統合されたセキュリティ サービスのセットがまとめられます。 これらのサービスは、ポータルに表示されるシグナルを収集して生成します。 2 種類のメイン信号は次のとおりです。
アラート: さまざまな脅威検出アクティビティに起因するシグナル。 これらのシグナルは、環境内で悪意のあるイベントまたは疑わしいイベントが発生したことを示します。
インシデント: 関連するアラートのコレクションを含み、攻撃の完全なストーリーを伝えるコンテナー。 1 つのインシデントのアラートは、Microsoft のすべてのセキュリティとコンプライアンス ソリューションからだけでなく、Microsoft SentinelとクラウドのMicrosoft Defenderを通じて収集された膨大な数の外部ソリューションから発生する可能性があります。
相関関係と調査のためのインシデント
個々のアラートが注意を引く脅威を調査して軽減できますが、これらの脅威は、より広範で複雑な攻撃ストーリーについて何も伝えない分離された発生です。 1 つの攻撃ストーリーに一緒に属するアラートのグループを検索、調査、調査、関連付けることができますが、多くの時間、労力、エネルギーがかかります。
代わりに、Microsoft Defender ポータルの相関エンジンとアルゴリズムは、関連するアラートを自動的に集計して関連付け、これらの大規模な攻撃ストーリーを表すインシデントを形成します。 Defender は、AI を使用してテレメトリ ソースを継続的に監視し、既に開いているインシデントにさらに証拠を追加して、複数のシグナルを同じ攻撃ストーリーに属していると識別します。 インシデントには、相互に関連していると見なされるすべてのアラートと全体的な攻撃ストーリーが含まれており、さまざまな形式でストーリーを提示します。
- アラートのタイムラインと、アラートの基になっている生のイベント
- 使用された戦術の一覧
- 関係し、影響を受けたすべてのユーザー、デバイス、およびその他のリソースのLists
- ストーリー内のすべてのプレイヤーが対話する方法の視覚的表現
- 開始および完了Defender XDR自動調査と応答プロセスのログ
- 攻撃ストーリーをサポートする証拠のコレクション: 悪意のあるアクターのユーザー アカウントとデバイスの情報とアドレス、悪意のあるファイルとプロセス、関連する脅威インテリジェンスなど
- 攻撃ストーリーのテキストの概要
インシデントには、調査と脅威対応を管理および文書化するためのフレームワークも用意されています。 この点に関するインシデントの機能の詳細については、「Microsoft Defenderでのインシデントの管理」を参照してください。
アラート ソースと脅威検出
Microsoft Defender ポータルのアラートは、多くのソースから取得されます。 これらのソースには、Microsoft Defender XDRの一部である多くのサービスと、Microsoft Defender ポータルとの統合の程度が異なるその他のサービスが含まれます。
たとえば、Microsoft SentinelがMicrosoft Defender ポータルにオンボードされている場合、Defender ポータルの関連付けエンジンは、Microsoft Sentinelによって取り込まれるすべての生データにアクセスできます。これは Defender の高度なハンティング テーブルにあります。
Microsoft Defender XDR自体もアラートを作成します。 Defender XDR独自の相関機能により、デジタル資産内のすべての Microsoft 以外のソリューションに対して、データ分析と脅威検出の別のレイヤーが提供されます。 これらの検出により、Microsoft Sentinelの分析ルールによって既に提供されているアラートに加えて、Defender XDRアラートが生成されます。
これらの各ソース内には、各メカニズムで定義されているルールに基づいてアラートを生成する 1 つ以上の脅威検出メカニズムがあります。
たとえば、Microsoft Sentinelには、それぞれ独自のルールを持つ、異なる種類のアラートを生成する少なくとも 4 つの異なるエンジンがあります。
調査と対応のためのツールと方法
Microsoft Defender ポータルには、インシデントのトリアージ、調査、解決を自動化または支援するためのツールと方法が含まれています。 これらのツールを次の表に示します。
| ツール/メソッド | 説明 |
|---|---|
| インシデントの管理と調査 | 重大度に応じてインシデントに優先順位を付け、調査に取り組む必要があります。 高度なハンティングを使用して脅威を検索し、脅威分析を使用して新たな脅威を先取りします。 |
| アラートを自動的に調査して解決する | 有効にした場合、Microsoft Defender XDRは自動化と人工知能を通じて、Microsoft 365 および Entra ID ソースからのアラートを自動的に調査して解決できます。 |
| 自動攻撃中断アクションを構成する | Microsoft Defender XDRとMicrosoft Sentinelから収集された高信頼信号を使用して、脅威を含み、影響を制限して、マシンの速度でアクティブな攻撃を自動的に中断します。 |
| 自動化ルールMicrosoft Sentinel構成する | 自動化ルールを使用して、ソースに関係なく、インシデントのトリアージ、割り当て、管理を自動化します。 コンテンツに基づいてインシデントにタグを適用するルールを構成し、ノイズの多い (誤検知) インシデントを抑制し、適切な条件を満たす解決済みインシデントを閉じ、理由を指定してコメントを追加することで、チームの効率をさらに向上させます。 |
| 高度なハンティングを使用してプロアクティブに狩りを行う | Kusto 照会言語 (KQL) を使用して、Defender ポータルで収集されたログに対してクエリを実行して、ネットワーク内のイベントを事前に検査します。 高度なハンティングでは、クエリ ビルダーの利便性を求めるユーザー向けのガイド付きモードがサポートされています。 |
| セキュリティのためのMicrosoft Copilotを使用して AI を活用する | AI を追加して、複雑で時間のかかる毎日のワークフローでアナリストをサポートします。 たとえば、セキュリティのMicrosoft Copilotは、明確に説明された攻撃ストーリー、ステップ バイ ステップのアクション可能な修復ガイダンス、インシデント アクティビティの概要レポート、自然言語の KQL ハンティング、エキスパート コード分析を提供することで、エンドツーエンドのインシデント調査と対応に役立ちます。すべてのソースからのデータ間で SOC 効率を最適化します。 この機能は、ユーザーとエンティティの動作分析、異常検出、多段階の脅威検出などの分野で、統合プラットフォームにMicrosoft Sentinel他の AI ベースの機能に加えて機能します。 |
関連項目
Defender ポータルでのアラートの関連付けとインシデントのマージの詳細については、Microsoft Defender XDRの「アラート、インシデント、関連付け」を参照してください。