次の方法で共有

Microsoft Defenderでインシデントを管理する

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

インシデント管理は、インシデントの名前付け、割り当て、タグ付けを行い、インシデント ワークフローの時間を最適化し、脅威をより迅速に含めて対処するために重要です。

インシデントは、Microsoft Defender ポータル (security.microsoft.com) のクイック 起動でインシデント & アラート>インシデントから管理できます。 次に例を示します。

Microsoft Defender ポータルのインシデント キューとクイック起動ウィンドウ内の [インシデントの管理] オプションを強調表示しているスクリーンショット。

インシデントを管理する方法を次に示します。

インシデントを管理するには、インシデント用の[インシデントの管理] ウィンドウから行います。 次に例を示します。

Microsoft Defender ポータルの [インシデントの管理] ウィンドウを示すスクリーンショット。

このウィンドウは、次の場所にある [ インシデントの管理 ] リンクから表示できます。

  • アラート ストーリー ページ。
  • インシデント キュー内のインシデントの [プロパティ] ウィンドウ。
  • インシデントの概要ページ。
  • [インシデント] ページの右上にある [インシデントの管理] オプション。

あるインシデントから別のインシデントにアラートを移動する場合は、[ アラート ] タブからアラートを移動して、関連するすべてのアラートを含む大小のインシデントを作成することもできます。

インシデント名を編集する

Microsoft Defenderは、影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどのアラート属性に基づいて、自動的に名前を割り当てます。 インシデント名を使用すると、インシデントのスコープをすばやく理解できます。 たとえば、 複数のソースによって報告された複数のエンドポイントに対するマルチステージ インシデント。

インシデント名は、[インシデントの管理] ウィンドウの [インシデント名] フィールドから編集できます。

注:

自動インシデントの名前付け機能のロールアウト前に存在していたインシデントは、その名前を保持します。

インシデントの重大度の割り当てまたは変更

インシデントの重大度は、[インシデントの管理] ウィンドウの [重大度] フィールドから割り当てたり変更したりできます。 インシデントの重大度は、それに関連付けられているアラートの重大度が最も高いものによって決まります。 インシデントの重大度は、 、または 情報に設定できます。

インシデント タグを追加する

共通した特徴を持つインシデントのグループにフラグを設定するなど、インシデントにカスタム タグを追加できます。 こうすることで、特定のタグを含むすべてのインシデントのインシデント キューを後からフィルター処理できます。

入力を開始すると、以前に使用したタグと選択したタグの一覧から選択するオプションが表示されます。

インシデントには、特定の色の背景を持つシステム タグやカスタム タグを含めることができます。 カスタム タグでは白の背景が使用され、システム タグでは通常、赤または黒の背景色が使用されます。 システム タグは、インシデント内の次の情報を識別します。

  • 資格情報フィッシングや BEC 詐欺などの攻撃の種類
  • 自動調査や対応、自動攻撃の中断などの自動アクション
  • インシデントを処理する Defender エキスパート
  • インシデントに関連する重要な資産

ヒント

Microsoft のセキュリティ露出管理は、定義済みの分類に基づいて、デバイス、ID、クラウド リソースを重要な資産として自動的にタグ付けします。 このすぐに使える機能により、organizationの貴重で最も重要な資産を確実に保護できます。 また、セキュリティ運用チームが調査と修復の優先順位を付けるのにも役立ちます。 重要な資産管理について詳しく知る。

インシデントを割り当てる

[ 割り当て先 ] ボックスを選択し、インシデントを割り当てるユーザー アカウントを指定できます。 インシデントを再割り当てするには、アカウント名の横にある [x] を選択して現在の割り当てアカウントを削除し、[ 割り当て先 ] ボックスを選択します。 インシデントの所有権を割り当てると、それに関連付けられているすべてのアラートに同じ所有権が割り当てられます。

インシデント キューをフィルター処理することで、割り当てられたインシデントの一覧を取得できます。

  1. インシデント キューから [フィルター] を選択 します
  2. [ インシデントの割り当て ] セクションで、[ すべて選択] をオフにします。 [ 自分に割り当て]、[ 別のユーザーに割り当て]、または [ ユーザー グループに割り当て] を選択します
  3. [ 適用] を選択し、[ フィルター ] ウィンドウを閉じます。

その後、ブラウザーに結果の URL をブックマークとして保存して、割り当てられたインシデントの一覧をすばやく表示できます。

インシデントを解決する

インシデントが修復されて解決されたら、[状態] ドロップダウン リストから [解決済み] を選択します。 インシデントを解決すると、インシデントに関連するすべてのリンクされたアクティブなアラートも解決されます。

インシデントの状態を 解決済みに変更すると、[ 状態 ] フィールドの直後に新しいフィールドが表示されます。 インシデントが解決されたと考える理由を説明するメモをこのフィールドに入力します。 このメモは、インシデントの解決を記録するエントリの近くにある、インシデントのアクティビティ ログに表示されます。

インシデントの解決に関するメモを含むインシデント管理パネルのスクリーンショット。

インシデント キュー ページと、解決されたインシデントのインシデント ページの両方で、サイド パネルの [ インシデントの詳細 ] セクションにインシデント解決に関するメモを確認できます。

インシデントの詳細パネルでの解決メモの外観のスクリーンショット。

インシデントを解決すると、インシデントに関連するすべてのリンクされたアクティブなアラートも解決されます。 解決されていないインシデントは、 アクティブとして表示されます。

分類を指定する

[ 分類 ] フィールドで、インシデントが次の場合を指定します。

  • 設定されていません (既定値)。
  • 脅威 の種類を持つ真陽性。 この分類は、実際の脅威を正確に示すインシデントに使用します。 脅威の種類を指定すると、セキュリティ チームは脅威パターンを確認し、組織を防御するために行動できます。
  • アクティビティの種類を持つ情報に関する、予期されるアクティビティ。 このカテゴリのオプションを使用して、セキュリティ テスト、赤いチーム アクティビティ、および信頼されたアプリとユーザーからの予期される異常な動作のインシデントを分類します。
  • 特定したインシデントの種類に対する誤検知は、技術的に不正確または誤解を招くため無視できます。

インシデントを分類し、その状態と種類を指定すると、Microsoft Defender XDRの調整に役立ち、時間の経過に伴う検出の判断が向上します。

コメントを追加する

[コメント] フィールドを使用して、インシデントに複数の コメント を追加できます。 コメント フィールドは、テキストと書式設定、リンク、および画像をサポートします。 各コメントは 30,000 文字に制限されています。

すべてのコメントは、インシデントの履歴イベントに追加されます。 インシデントのコメントと履歴は、[概要] ページの [コメントと履歴] リンクから確認できます。

アクティビティ ログ

アクティビティ ログには、インシデントに対して実行されたすべてのコメントとアクション (監査とコメント) の一覧が表示されます。 インシデントに加えられたすべての変更は、ユーザーまたはシステムによって行われ、アクティビティ ログに記録されます。 アクティビティ ログは、インシデント ページまたはインシデント側ウィンドウの [アクティビティ ログ ] オプションから使用できます。

Microsoft Defender ポータルのインシデント ページのアクティビティ ログ オプションを強調表示しているスクリーンショット。

ログ内のアクティビティをコメントとアクションでフィルター処理できます。 [ コンテンツ: 監査]、[コメント ] の順にクリックし、アクティビティをフィルター処理するコンテンツ タイプを選択します。 次に例を示します。

Microsoft Defender ポータルのインシデント ページからアクティビティ ログ ウィンドウ内のフィルター オプションを強調表示しているスクリーンショット。

アクティビティ ログ内で使用できるコメント ボックスを使用して、独自のコメントを追加することもできます。 コメント ボックスは、テキストと書式設定、リンク、および画像を受け入れます。

Microsoft Defender ポータルのインシデント ページのコメント ボックスを強調表示しているスクリーンショット。

インシデント データを PDF にエクスポートする

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

現在、エクスポート インシデント データ機能は、セキュリティ ライセンスのMicrosoft Copilotを持つMicrosoft Defender XDRおよび Microsoft 統合セキュリティ オペレーション センター (SOC) プラットフォームのお客様が利用できます。

インシデントのデータを PDF 形式でエクスポートするには、[インシデントを PDF としてエクスポート ] 関数を使用して PDF に保存します。 この関数を使用すると、セキュリティ チームは、インシデントの詳細をいつでもオフラインで確認できます。

エクスポートされたインシデント データには、次の情報が含まれます。

エクスポートされた PDF の例を次に示します。

エクスポートされた PDF の最初のページのスクリーンショット。

Copilot for Security ライセンスをお持ちの場合、エクスポートされた PDF には次の追加のインシデント データが含まれます。

PDF へのエクスポート機能は、Copilot サイド パネルでも使用できます。 インシデント レポートの結果カードの右上隅にある [その他のアクション] 省略記号 (...) を選択すると、[インシデントを PDF としてエクスポート] を選択できます。

インシデント レポート結果カード内の追加アクションのスクリーンショット。

PDF を生成するには、次の手順を実行します。

  1. インシデント ページを開きます。 右上隅にある [ その他のアクション ] 省略記号 (...) を選択し、[ インシデントを PDF としてエクスポート] を選択します。

    [インシデント] ページの [その他のアクション] 省略記号を強調表示しているスクリーンショット。

  2. 次に表示されるダイアログ ボックスで、PDF に含めるか除外するインシデント情報を確認します。 既定では、すべてのインシデント情報が選択されています。 [ PDF のエクスポート] を選択して続行します。

    [インシデントを PDF にエクスポート] オプションを強調表示しているスクリーンショット。

  3. ダウンロードの現在の状態を示すステータス メッセージがインシデント タイトルの下に表示されます。 エクスポート プロセスは、インシデントの複雑さとエクスポートするデータの量によっては数分かかる場合があります。

    ダウンロード前にエクスポート メッセージと状態が強調表示されているスクリーンショット。

  4. PDF の準備ができていることを示す別のダイアログ ボックスが表示されます。 ダイアログ ボックスから [ ダウンロード ] を選択して、PDF をデバイスに保存します。 インシデント タイトルの下のステータス メッセージも更新され、ダウンロードが利用可能であることを示します。

    ダウンロードが利用可能な場合のエクスポート メッセージと状態を強調表示しているスクリーンショット。

レポートは数分キャッシュされます。 短い期間内に同じインシデントを再度エクスポートしようとすると、以前に生成された PDF が提供されます。 新しいバージョンの PDF を生成するには、キャッシュの有効期限が切れるまで数分待ちます。

次の手順

新しいインシデントの場合は、 調査を開始します。

インプロセス インシデントの場合は、 調査を続行します。

解決されたインシデントの場合は、 インシデント後のレビューを実行します。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。