インシデントの概要
組織に対するテクノロジ関連の脅威は "インシデント" と呼ばれます。 インシデント管理は、インシデントの作成から詳細な調査、解決に至るまでの、インシデント調査の完全なプロセスです。 Microsoft Sentinel は、IT チームがインシデントの発生から解決までを整理し、調査し、追跡するのに役立ちます。
Microsoft Sentinel を使って、インシデントの詳細情報の確認、インシデント所有者の割り当て、インシデントの重大度の設定と管理、インシデントの状態の管理を行うことができます。 Microsoft Sentinel によって、これらの手順を処理する完全なインシデント管理環境を実現できます。
主要な概念
次の主要な Microsoft Sentinel インシデント管理の概念を理解することが重要です。
- データ コネクタ。 Microsoft Sentinel データ コネクタを使って、セキュリティ関連のサービスからデータを取り込み、収集することができます。 データ コネクタは、Log Analytics エージェントが実行されている Linux または Windows コンピューター、Linux syslog サーバー (ファイアウォールやプロキシなどのデバイスの場合)、または直接 Microsoft Azure サービスから、イベントを収集できます。 これらのイベントにより、Microsoft Sentinel に関連付けられている Log Analytics ワークスペースに転送されます。
- イベント。 Microsoft Sentinel によって、Log Analytics ワークスペースにイベントが格納されます。 これらのイベントには、Microsoft Sentinel で監視するセキュリティ関連のアクティビティの詳細が含まれています。
- 分析ルール。 分析ルールによって重要なセキュリティ イベントを検出し、アラートを生成します。 分析ルールを作成するには、組み込まれているテンプレートを使うか、Microsoft Sentinel の Log Analytics ワークスペースに対してカスタムの Kusto クエリ言語 (KQL) クエリを使います。
- アラート。 分析ルールを使用すると、重要なセキュリティ イベントが検出されたときにアラートが生成されます。 インシデントを生成するアラートを構成できます。
- インシデント。 Microsoft Sentinel によって、分析ルール アラートからインシデントが作成されます。 インシデントには、関連する複数のアラートを含めることができます。 環境内のセキュリティの問題を調査するための出発点および追跡メカニズムとして、各インシデントを使用します。
Microsoft Sentinel の [概要] ページ
Microsoft Sentinel でのインシデント管理は [概要] ページから始まります。ここでは、Microsoft Sentinel の現在の環境を確認できます。 [概要] ページには、最新のインシデントの一覧と、Microsoft Sentinel に関するその他の重要な情報が表示されます。 インシデントを調査する前に、このページを使ってセキュリティの全般的な状況を把握できます。
