Microsoft Defenderでインシデントを管理する
インシデント管理は、インシデントの名前付け、割り当て、タグ付けを行い、インシデント ワークフローの時間を最適化し、脅威をより迅速に含めて対処するために重要です。
Microsoft Defender ポータルのクイック 起動 (security.microsoft.com) でインシデント & アラート>インシデント>調査 & 応答からインシデントを管理します。 次に例を示します。
この記事では、インシデントのライフサイクルのさまざまなステージに関連付けられているさまざまなインシデント管理タスクを実行する方法について説明します。
- インシデント名を編集します。
- アクティビティ監査を評価し、 アクティビティ ログにコメントを追加します。
- インシデント データを PDF にエクスポートします。
[ インシデントの管理 ] ウィンドウにアクセスする
これらのタスクのほとんどは、インシデントの [インシデントの 管理 ] ウィンドウからアクセスできます。 このウィンドウには、複数の場所からアクセスできます。
インシデント キューから
Microsoft Defender ポータルのクイック 起動で[インシデント>インシデント>アラートを & する調査 & 応答]を選択します。
インシデント キューから、次の 2 つの方法のいずれかで [ インシデントの管理 ] ウィンドウにアクセスします。
インシデント ページから
Microsoft Defender ポータルのクイック 起動で[インシデント>インシデント>アラートを & する調査 & 応答]を選択します。
キューからインシデントの名前を選択します。 または、キュー内のインシデントの行を選択し、インシデントの詳細ウィンドウから [ インシデント ページを開く ] を選択します。
インシデント ページで、上部のパネルから [ インシデントの管理 ] を選択します。
[ インシデントの管理 ] が表示されない場合は、右上隅にある 3 つのドット ([インシデントの管理] の横にある次のスクリーンショットに表示されます) を選択し、表示されるメニューから選択します。
インシデントトリアージ
次の管理タスクはインシデントトリアージと密接に関連付けられていますが、いつでも実行できます。
所有者にインシデントを割り当てる
既定では、所有者なしで新しいインシデントが作成されます。 SecOps チームには、所有者にインシデントを自動的に割り当てるためのメカニズムと手順が用意されているのが理想的です。 エスカレーションや誤った元の割り当ての場合は、インシデントの再割り当てが必要になる場合があります。
所有者を割り当てる
インシデントに新しい所有者を手動で割り当てるには、次の手順を実行します。
[インシデントの管理] ウィンドウにアクセスするには、開くセクションの指示に従います。
[ 割り当て先 ] ボックスを選択します。 提案された担当者のドロップダウン リストが表示されます。
インシデントを割り当てるユーザーまたはグループ アカウントが表示される場合は、それを選択します。
それ以外の場合は、リストの上部にあるテキスト ボックスに目的のユーザーまたはグループの名前またはアカウント ID を入力します。 リストは動的に更新され、入力内容によってフィルター処理されます。 目的のユーザーまたはグループが表示されたら、それを選択します。
追加した割り当てを含む既存の割り当てを削除するには、アカウント名の横にある [X ] を選択します。 次に、別の割り当てを追加する場合は、[ 割り当て 先] ボックスを選択します。
インシデントに割り当てることができるユーザーまたはグループ アカウントは 1 つだけです。
[保存] を選択します。
インシデントの所有権を割り当てると、それに関連付けられているすべてのアラートに同じ所有権が割り当てられます。
特定の所有者に割り当てられたインシデントを表示する
特定のユーザーまたはグループに割り当てられているインシデントの一覧を表示するには、インシデント キューをフィルター処理します。
インシデント キューから、[ インシデント割り当て ] フィルターを選択します。 提案された担当者のドロップダウン リストが表示されます。
フィルターの間に インシデント割り当てが 表示されない場合は、[ フィルターの追加] を選択し、ドロップダウン リストから [インシデントの割り当て ] を選択し、[ 追加] を選択します。
割り当てられたインシデントを表示するユーザー アカウントが表示される場合は、それを選択します。
それ以外の場合は、リストの上部にあるテキスト ボックスに目的のユーザーまたはグループの名前またはアカウント ID を入力します。 リストは動的に更新され、入力内容によってフィルター処理されます。 目的のユーザーまたはグループが表示されたら、それを選択します。
インシデントの割り当てとは異なり、ここでは複数の担当者を選択してリストをフィルター処理できます。 別のユーザーまたはグループ アカウントをフィルターに追加するには、テキスト ボックス (フィルター内の既存のアカウントの横) を選択すると、提案された担当者の一覧が再び表示されます。
[適用] を選択します。
現在のフィルターが適用されたインシデント キューへのリンクを保存するには、インシデント キュー ページのツール バーから [ リスト リンクのコピー ] を選択します。 お気に入りまたはデスクトップにショートカットを作成し、リンクを貼り付けます。
インシデントの重大度の割り当てまたは変更
インシデントの重大度は、それに関連付けられているアラートの重大度が最も高いものによって決まります。 インシデントの重大度は、 高、 中、 低、または 情報に設定できます。
インシデントの重大度を手動で割り当てるか変更するには、次の手順を実行します。
[インシデントの管理] ウィンドウにアクセスするには、開くセクションの指示に従います。
[インシデントの管理] ウィンドウの [重大度] ドロップダウンから、適用する重大度の値を選択します。
[保存] を選択します。
インシデント タグを追加する
カスタム タグは、インシデントにコンテキストを貸す情報を追加します。 たとえば、タグは、共通の特性を持つインシデントのグループにラベルを付けることができます。 タグはフィルター処理の基準であるため、後で特定のタグを含むすべてのインシデントのインシデント キューをフィルター処理できます。 インシデントにタグを適用するには:
[インシデントの管理] ウィンドウにアクセスするには、開くセクションの指示に従います。
[ インシデント タグ ] フィールドで、適用するタグの名前の入力を開始します。 入力すると、以前に使用したタグと選択したタグの一覧が表示されます。 一覧に適用するタグが表示されたら、それを選択します。
以前に使用されていないタグ名を入力した場合は、一覧の最後のエントリを選択します。これは、入力したテキストの後に "(新規作成)" が続きます。
その後、タグは [インシデント タグ] フィールド内にラベルとして表示されます。 この手順を繰り返して、必要に応じてタグを追加します。
[保存] を選択します。
インシデントには、特定の色の背景を持つシステム タグやカスタム タグを含めることができます。 カスタム タグでは白の背景が使用され、システム タグでは通常、赤または黒の背景色が使用されます。 システム タグは、インシデント内の次の情報を識別します。
- 資格情報フィッシングや BEC 詐欺などの攻撃の種類
- 自動調査や対応、自動攻撃の中断などの自動アクション
- インシデントを処理する Defender エキスパート
- インシデントに関連する重要な資産
ヒント
Microsoft のセキュリティ露出管理は、定義済みの分類に基づいて、デバイス、ID、クラウド リソースを重要な資産として自動的にタグ付けします。 このすぐに使える機能により、organizationの貴重で最も重要な資産を確実に保護できます。 また、セキュリティ運用チームが調査と修復の優先順位を付けるのにも役立ちます。 重要な資産管理について詳しく知る。
インシデントの状態を変更する
インシデントは、 状態が [アクティブ] で始まります。 インシデントに取り組んでいる場合は、[ 状態] を [進行中] に変更します。
インシデントの調査と解決
次の管理タスクは、インシデントの調査と解決に密接に関連付けられていますが、いつでも実行できます。
インシデントを解決する
インシデントが修復されて解決されたら、次のアクションを実行して解決を記録します。
[インシデントの管理] ウィンドウにアクセスするには、開くセクションの指示に従います。
状態を変更します。 [状態] ドロップダウン リストから [解決済み] を選択します。 インシデントの状態を 解決済みに変更すると、[ 状態 ] フィールドの直後に新しいフィールドが表示されます。
インシデントが解決されたと考える理由を説明するメモをこのフィールドに入力します。 このメモは、インシデントの解決を記録するエントリの近くにある、インシデントのアクティビティ ログに表示されます。
解決メモは、インシデント キュー ページと解決されたインシデントのインシデント ページの両方の [インシデントの 詳細 ] パネルにも表示されます。
[保存] を選択します。
インシデントを解決すると、インシデントに関連するすべてのリンクされたアクティブなアラートも解決されます。 解決されていないインシデントは、 アクティブとして表示されます。
インシデントの分類を指定する
インシデントを解決するとき、またはインシデントの調査の任意の時点で、インシデントの分類方法が認識されたらすぐに、それに応じて [分類 ] フィールドを設定します。
[インシデントの管理] ウィンドウにアクセスするには、開くセクションの指示に従います。
[ 分類 ] ドロップダウン リストから適切な値を選択します。
- 設定されていません (既定値)。
- 脅威 の種類を持つ真陽性。 この分類は、実際の脅威を正確に示すインシデントに使用します。 脅威の種類を指定すると、セキュリティ チームは脅威パターンを確認し、組織を防御するために行動できます。
- アクティビティの種類を持つ情報に関する、予期されるアクティビティ。 このカテゴリのオプションを使用して、セキュリティ テスト、赤いチーム アクティビティ、および信頼されたアプリとユーザーからの予期される異常な動作のインシデントを分類します。
- 特定したインシデントの種類に対する誤検知は、技術的に不正確または誤解を招くため無視できます。
次のスクリーンショットでは、これらの分類ごとに使用可能な種類のアクティビティと脅威を参照してください。
[保存] を選択します。
インシデントを分類し、その状態と種類を指定すると、Microsoft Defenderの調整に役立ち、時間の経過に伴う検出の判断が向上します。
インシデントにコメントを追加する
調査とインシデントの過程で、アクティビティ、分析情報、結論を記録するコメントを追加します。
インシデントのアクティビティ ログを開きます。 インシデント ページまたはインシデント キュー ページのインシデントの詳細パネルから、右上隅にある 3 つのドットを選択し、結果のメニューから [ アクティビティ ログ] を選択します。
テキスト フィールドにコメントを入力します。 コメント フィールドは、テキストと書式設定、リンク、および画像をサポートします。 各コメントは 30,000 文字に制限されています。
[保存] を選択します。
すべてのコメントは、インシデントの履歴イベントに追加されます。 インシデントのコメントと履歴は、[概要] ページの [コメントと履歴] リンクから確認できます。
インシデントログとレポート
次の管理タスクは、インシデント調査に関する監査とレポートに関連付けることができますが、いつでも実行できます。
- インシデント名を編集します。
- アクティビティ監査を評価し、 アクティビティ ログにコメントを追加します。
- インシデント データを PDF にエクスポートします。
インシデント名を編集する
Microsoft Defenderは、影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどのアラート属性に基づいて、自動的に名前を割り当てます。 インシデント名を使用すると、インシデントのスコープをすばやく理解できます。 たとえば、 複数のソースによって報告された複数のエンドポイントに対するマルチステージ インシデント。
インシデント名を編集するには、次の手順を実行します。
[インシデントの管理] ウィンドウにアクセスするには、開くセクションの指示に従います。
[インシデントの管理] ウィンドウの [インシデント名] フィールドに新しい名前を入力します。
[保存] を選択します。
注:
インシデントの自動名前付け機能のロールアウト前に存在していたインシデントは、その名前を保持します。
別のインシデントが名前が変更されたインシデントにマージされた場合、Defender はインシデントに新しい名前を付け、事前に指定したカスタム名を上書きします。
インシデントのアクティビティ ログを表示する
インシデントの事後処理を行う場合は、インシデントの アクティビティ ログ を表示して、インシデントに対して実行されたアクションの履歴 ("監査" と呼ばれます) と記録されたすべてのコメントを確認します。 インシデントに加えられたすべての変更は、ユーザーまたはシステムによって行われ、アクティビティ ログに記録されます。
インシデントのアクティビティ ログを開きます。 インシデント ページまたはインシデント キュー ページのインシデントの詳細パネルから、右上隅にある 3 つのドットを選択し、結果のメニューから [ アクティビティ ログ] を選択します。
コメントとアクションでログ内のアクティビティをフィルター処理します。 [ コンテンツ: 監査]、[コメント] の順に選択し、アクティビティをフィルター処理するコンテンツ タイプを選択します。 次に例を示します。
[適用] を選択します。
アクティビティ ログ内で使用できるコメント ボックスを使用して 、独自のコメントを追加 することもできます。 コメント ボックスは、テキストと書式設定、リンク、および画像を受け入れます。
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
インシデント データを PDF にエクスポートする
インシデントのデータを PDF 形式でエクスポートするには、[インシデントを PDF としてエクスポート ] 関数を使用して PDF に保存します。 この関数を使用すると、セキュリティ チームは、インシデントの詳細をいつでもオフラインで確認できます。
エクスポートされたインシデント データには、次の情報が含まれます。
- インシデントの詳細を含む概要
- 攻撃ストーリー グラフと脅威カテゴリ
- 影響を受ける 資産は、資産の種類ごとに最大 10 個の資産をカバーします
- 最大 100 項目をカバーする証拠リスト
- アクティビティ ログに記録されたすべての関連アラートとアクティビティを含む、サポート データ
エクスポートされた PDF の例を次に示します。
Copilot for Security ライセンスをお持ちの場合、エクスポートされた PDF には次の追加のインシデント データが含まれます。
PDF へのエクスポート機能は、Copilot サイド パネルでも使用できます。 インシデント レポートの結果カードの右上隅にある [その他のアクション] 省略記号 (...) を選択すると、[インシデントを PDF としてエクスポート] を選択できます。
PDF を生成するには、次の手順を実行します。
インシデント ページを開きます。 右上隅にある [ その他のアクション ] 省略記号 (...) を選択し、[ インシデントを PDF としてエクスポート] を選択します。
次に表示されるダイアログ ボックスで、PDF に含めるか除外するインシデント情報を確認します。 既定では、すべてのインシデント情報が選択されています。 [ PDF のエクスポート] を選択して続行します。
ダウンロードの現在の状態を示すステータス メッセージがインシデント タイトルの下に表示されます。 エクスポート プロセスは、インシデントの複雑さとエクスポートするデータの量によっては数分かかる場合があります。
PDF の準備ができていることを示す別のダイアログ ボックスが表示されます。 ダイアログ ボックスから [ ダウンロード ] を選択して、PDF をデバイスに保存します。 インシデント タイトルの下のステータス メッセージも更新され、ダウンロードが利用可能であることを示します。
レポートは数分キャッシュされます。 短い期間内に同じインシデントを再度エクスポートしようとすると、以前に生成された PDF が提供されます。 新しいバージョンの PDF を生成するには、キャッシュの有効期限が切れるまで数分待ちます。
次の手順
新しいインシデントとインプロセス インシデントの場合は、 インシデント調査を続行します。
解決されたインシデントの場合は、 インシデント後のレビューを実行します。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。