Microsoft の統合セキュリティ運用プラットフォームでケースをネイティブに管理する
ケース管理は、Microsoft の統合セキュリティ操作 (SecOps) プラットフォームにオンボードするときに、セキュリティ作業を管理するための新機能の最初の割り当てです。
セキュリティに重点を置いた統合されたケース管理エクスペリエンスを提供するためのこの最初の手順では、SecOps ワークロード全体で豊富なコラボレーション、カスタマイズ、証拠収集、レポートを一元化します。 SecOps チームは、セキュリティ コンテキストを維持し、より効率的に作業し、Defender ポータルを離れずにケース作業を管理するときに攻撃に迅速に対応します。
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
ケース管理 (プレビュー) とは
ケース管理を使用すると、Defender ポータルで SecOps ケースをネイティブに管理できます。 サポートされているシナリオと機能の初期セットを次に示します。
- カスタム状態値を使用して独自のケース ワークフローを定義する
- コラボレーターにタスクを割り当て、期限を構成する
- 複数のインシデントをケースにリンクしてエスカレーションと複雑なケースを処理する
- RBAC を使用してケースへのアクセスを管理する
このケース管理の基盤を構築する際には、このソリューションを進化させるにつれて、次の追加の堅牢な機能を優先します。
- オートメーション
- マルチテナントのサポート
- 追加するその他の証拠
- ワークフローのカスタマイズ
- その他の Defender ポータル統合
要件
ケース管理は Defender ポータルで使用でき、使用するには、Microsoft Sentinel ワークスペースが接続されている必要があります。 Azure portalからのケースへのアクセスはありません。
詳細については、「Microsoft Sentinelを Defender ポータルに接続する」を参照してください。
次の表を使用して、ケース管理の RBAC を計画します。
| ケース機能 | Microsoft Defender XDR統合 RBAC で必要な最小限のアクセス許可 |
|---|---|
| 表示のみ ケース キュー ケースの詳細 - タスク コメント - ケース監査 |
セキュリティ操作 > セキュリティ データの基本 (読み取り) |
| ケースとケース タスクの作成と管理 割り当て - 更新の状態 - インシデントのリンクとリンク解除 |
セキュリティ操作 > アラート (管理) |
| ケースの状態オプションをカスタマイズする | コア セキュリティ設定 > 承認と設定 (管理) |
詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)」を参照してください。
ケース キュー
ケース管理の使用を開始するには、Defender ポータルで [ケース ] を選択してケース キューにアクセスします。 ケースをフィルター処理、並べ替え、検索して、焦点を絞る必要があるものを見つけます。
ケースの詳細
各ケースには、アナリストがケースを管理し、重要な詳細を表示できるページがあります。
次の例では、脅威ハンターが、複数の MITRE ATT&CK 手法と IoC で構成される架空の "バローニング" 攻撃を調査しています。
次のケースの詳細を管理して、作業の説明、優先順位付け、割り当て、追跡を行います。
| 表示されるケース機能 | ケース オプションを管理する | 既定値 |
|---|---|---|
| 優先度 |
Very low, Low, Medium, High, Critical |
none |
| 状態 | アナリストによる設定、管理者によるカスタマイズ | 既定の状態は New、 Open、 Closed既定の値は New |
| 割り当て先 | テナント内の 1 人のユーザー | none |
| 説明 | テキスト | none |
| ケースの詳細 | ケース ID | ケース ID は 1000 から始まり、消去されません。 ケースをアーカイブするには、カスタムの状態とフィルターを使用します。 ケース番号は自動的に設定されます。 |
| 作成者 Created on Last updated by Last updated on |
自動的に設定 | |
| 期限 リンクされたインシデント |
none |
カスタマイズされた状態の設定、タスクの割り当て、インシデントのリンク、コメントの追加により、ケースをさらに管理します。
状態のカスタマイズ
セキュリティ オペレーション センター (SOC) のニーズに合わせてケース管理を設計します。 SecOps チームが使用できる状態オプションを、使用しているプロセスに合わせてカスタマイズします。
侵入攻撃ケースの作成例に続いて、SOC 管理者は、脅威ハンターがトリアージの脅威のバックログを週単位で保持できるようにする状態を構成しました。 リサーチ フェーズや生成仮説などのカスタム状態は、この脅威ハンティング チームの確立されたプロセスと一致します。
タスク
ケースの詳細なコンポーネントを管理するタスクを追加します。 各タスクには、独自の名前、状態、優先度、所有者、期限が付属しています。 この情報を使用すると、どのタスクをいつまでに完了する責任があるかが常にわかります。 タスクの説明は、実行する作業と進行状況を説明するための領域をまとめたものです。 終了ノートは、完了したタスクの結果に関するより多くのコンテキストを提供します。
使用可能なタスクの状態を示す図: 新規、進行中、失敗、部分的完了、スキップ、完了
インシデントをリンクする
ケースとインシデントをリンクすると、SecOps チームが最適な方法で共同作業を行うことができます。 たとえば、悪意のあるアクティビティを検出した脅威ハンターは、インシデント対応 (IR) チームのインシデントを作成します。 その脅威ハンターは、インシデントをケースにリンクして、関連していることは明らかです。 IR チームは、アクティビティを見つけたハントのコンテキストを理解します。
または、IR チームが 1 つ以上のインシデントをハンティング チームにエスカレートする必要がある場合は、ケースを作成し、[ 調査] & 対応 インシデントの詳細ページからインシデントをリンクできます。
アクティビティ ログ
メモを書き留める必要があるか、または渡すためにそのキー検出ロジックが必要ですか? プレーン テキスト コメントを作成し、アクティビティ ログの監査イベントを確認します。 コメントは、ケースに情報をすばやく追加するのに最適な場所です。
監査イベントはケースのアクティビティ ログに自動的に追加され、最新のイベントが上部に表示されます。 コメントまたは監査履歴に焦点を当てる必要がある場合は、フィルターを変更します。