次の方法で共有


Azure portal で Microsoft Defender XDR を使用して Microsoft Sentinel を使用してインシデントに対応する

この記事では、Azure portal と Microsoft Defender XDR で Microsoft Sentinel を使用してセキュリティ インシデントを解決する方法について説明します。 迅速なインシデント対応を確保するためのトリアージ、調査、解決に関する詳細なガイダンスについて説明します。

  • ライフサイクル (状態、所有者、分類) の更新は、製品間で共有されます。
  • 調査中に収集された証拠は、Microsoft Sentinel インシデントに表示されます。

Microsoft Defender と Microsoft Sentinel の統合の詳細については、「Microsoft Defender XDR と Microsoft Sentinel の統合」を参照してください。 この 対話型ガイド、Microsoft の統合セキュリティ情報およびイベント管理 (SIEM) 機能と拡張検出および応答 (XDR) 機能を使用して、最新の攻撃を検出して対応する手順を説明します。

インシデント・トリアージ

Microsoft Sentinel を使用して Azure portal でトリアージを開始し、インシデントの詳細を確認し、直ちにアクションを実行します。 [インシデント] ページで、疑わしいインシデントを見つけ、所有者名、状態、重大度などの詳細を更新するか、コメントを追加します。 詳細を掘り下げて調査を続けます。

詳細については、Azure portal で Microsoft Sentinel インシデントの移動、トリアージ、および管理方法を確認し、 を参照してください。

インシデント調査

プライマリ インシデント対応ツールとして Azure portal を使用し、Defender ポータルに切り替えて詳細な調査を行います。

例えば:

ポータル 用事
Azure portal Azure portal で Microsoft Sentinel を使用して、インシデントをセキュリティ プロセス、ポリシー、手順 (3P) と関連付けます。 インシデントの詳細ページで、Microsoft Defender XDR 調査を選択して、Defender ポータルで同じインシデントを開きます。
Defender ポータルの インシデントの範囲、アセットのタイムライン、自己修復が保留中のアクションなどの詳細を調査します。 また、エンティティを手動で修復し、ライブ応答を実行し、防止対策を追加することが必要になる場合もあります。

インシデントの詳細ページの 攻撃ストーリー タブで、次の手順を実行します。
- インシデントの攻撃ストーリーを表示して、そのスコープ、重大度、検出ソース、および影響を受けるエンティティを把握します。
- インシデント内のアラート ストーリーを使用して、インシデントのアラートを分析して、その発生元、スコープ、重大度を把握します。
- 必要に応じて、影響を受けるデバイス、ユーザー、メールボックスに関する情報をグラフで収集します。 任意のエンティティを選択して、すべての詳細を含むポップアップを開きます。
- Microsoft Defender XDR が一部のアラートを自動的に解決した方法については、[調査] タブを参照してください。
- 必要に応じて、[証拠と応答] タブからインシデントのデータ セットの情報を使用します。
Azure portal Azure portal に戻り、次のような追加のインシデント アクションを実行します。
- 3P自動調査と修復アクションの実行
- カスタム セキュリティ オーケストレーション、自動化、応答 (SOAR) プレイブックの作成
- アクションと分析の結果を記録するためのコメントなど、インシデント管理の証拠を記録します。
- カスタム メジャーの追加。

詳細については、以下を参照してください。

Microsoft Sentinel を使用した自動化

Microsoft Sentinel のプレイブックと自動化ルールの機能を使用します。

  • プレイブック は、Microsoft Sentinel ポータルからルーチンとして実行する調査および修復アクションのコレクションです。 プレイブックは、脅威への対応を自動化および調整するのに役立ちます。 インシデント、エンティティ、またはアラートに対して手動で実行するか、自動化ルールによってトリガーされたときに自動的に実行されます。 詳細については、「プレイブック を使用して脅威への対応を自動化するを参照してください。

  • Automation ルール、さまざまなシナリオに適用される少数のルールセットを定義して調整することで、Microsoft Sentinel で自動化を一元的に管理できます。 詳細については、「自動化ルール を使用して Microsoft Sentinel で脅威への対応を自動化する」を参照してください。

インシデントの解決

調査が終了し、ポータルでインシデントを修正したら、それを解決します。 詳細については、「Azure portalでのインシデントのクローズ」を参照してください。

潜在的なフォローアップ アクションについては、インシデント対応リーダーにインシデントを報告します。 例えば:

  • Tier 1 のセキュリティ アナリストに、攻撃をより早く検出するように通知します。
  • Microsoft Defender XDR Threat Analytics の攻撃と、セキュリティ攻撃の傾向に関するセキュリティ コミュニティを調査します。
  • インシデントの解決に使用したワークフローを記録し、標準のワークフロー、プロセス、ポリシー、プレイブックを更新します。
  • セキュリティ構成の変更が必要かどうかを判断し、それらを実装します。
  • 同様のリスクに対する脅威への対応を自動化するオーケストレーション プレイブックを作成します。 詳細については、「Microsoft Sentinelのプレイブックを使用して脅威への対応を自動化する」を参照してください。

詳細については、以下を参照してください。