Microsoft Defender XDRでの最初のインシデントへの対応
適用対象:
- Microsoft Defender XDR
このガイドでは、ポータルの使用中に、新しいMicrosoft Defender XDR ユーザーが日常的なインシデント対応タスクを確実に実行するための Microsoft リソースの一覧を示します。 このガイドを使用した場合の目的の結果は次のとおりです。
- Microsoft Defender XDRを使用してインシデントやアラートに対応する方法をすばやく学習します。
- インシデントの調査と修復を支援するポータルの機能については、ビデオとチュートリアルを参照してください。
Microsoft Defender XDRを使用すると、すべての資産 (デバイス、ID、メールボックス、クラウド アプリなど) に関連する脅威イベントを表示できます。 ポータルは、Defender 保護スイート、Microsoft Sentinel、およびその他の統合されたセキュリティ情報とイベント管理 (SIEM) ソリューションからのシグナルを統合します。 1 つのウィンドウで完全なコンテキストを持つ相関攻撃情報を使用すると、organizationを正常に防御および保護できます。
このガイドには、次の 3 つのメインセクションがあります。
- インシデントの理解: ポータル内でのインシデントへのアクセス、トリアージ、管理
- 攻撃の分析: ポータルの機能を使用して特定の攻撃を調査する方法に関するビデオとチュートリアルのコレクション。
- 修復攻撃: 脅威を修復するためにポータル内で使用できる自動化された手動アクションの一覧を示します。 このセクションには、ビデオとチュートリアルへのリンクが含まれています。
インシデントについて
インシデントは、作成されたプロセス、コマンド、アクションのチェーンであり、一致していない可能性があります。 インシデントは、疑わしいアクティビティまたは悪意のあるアクティビティの全体像とコンテキストを提供します。 1 つのインシデントによって、複数のサービスから何百ものアラートをトリアージするのではなく、攻撃の完全なコンテキストが提供されます。
Microsoft Defender XDRには、インシデントへの対応に使用できる多くの機能があります。 インシデント間を移動するには、[ホーム] ページの [アクティブなインシデント] カードのすべてのインシデントを表示する] を選択するか、左側のナビゲーション ウィンドウで [インシデント] & アラートを使用します。
ホーム ページの図 1 します。Microsoft Defender XDR ホーム ページにカードされているアクティブなインシデント
Figure 2 のインシデント キュー。インシデント キュー
各インシデントには、さまざまな検出ソースからの自動的に関連付けられたアラートが含まれており、さまざまなエンドポイント、ID、またはクラウド アプリが含まれる場合があります。
インシデントトリアージ
インシデントの優先順位付けは、レスポンダー、セキュリティ チーム、organizationごとに異なります。 インシデント対応計画 とセキュリティ チームの指示により、インシデントの優先順位が義務付けられます。
Microsoft Defender XDRには、インシデントの重大度、ユーザーの種類、インシデントをトリアージして優先順位を付ける脅威の種類など、さまざまなインジケーターがあります。 インシデント キュー フィルターを使用すると、これらのインジケーターを任意の組み合わせですぐに使用できます。
インシデントの優先順位を決定する例は、インシデントに対して次の要素を組み合わせることです。
- インシデントの重大度は高いです。
- 自動化調査の状態が失敗しました。
- 影響を受ける資産は 5 つあり、そのうちの 2 つの資産には機密性の高いデータ機密性が付けられます。
- インシデントの状態が新しい。
- インシデントは、調査のためにチーム メンバーに割り当て解除されます。
上記の情報を使用して、インシデントに高い優先度を割り当てることができます。 優先度が決定されたら、インシデント調査を開始できます。
注:
Microsoft Defender XDRは、重大度、調査状態、影響を受けた資産、インシデントの状態などのフィルターを自動的に決定します。 この情報は、脅威インテリジェンス フィードと適用された自動修復アクションによってコンテキスト化されたorganizationのネットワーク アクティビティに基づいています。
インシデントを管理する
インシデントとアラートに不可欠な情報を提供することで、インシデント 管理 の効率に貢献できます。 各インシデントをトリアージして分析するときに、次のフィルターに情報を追加する場合は、他のレスポンダーが利用できるそのインシデントにさらにコンテキストを提供します。
- インシデントとアラートの分類
- インシデントの名前付け
- タグの追加
- コメントの提供
このビデオを使用してインシデントとアラートを分類する方法について説明します。
次の手順
- 最初のインシデントを分析する
- 最初のインシデントの修復を行う
- Microsoft Defender XDR Virtual Ninja トレーニングでデモとポータルの新しい開発を見る
関連項目
- セキュリティ操作にMicrosoft Defender XDRを統合する
- インシデント対応プレイブックを使用して一般的な攻撃に対応する
- Microsoft Defender XDR Ninja トレーニングを通じてポータルの機能を学習する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。