Defender ポータルを使用してインシデントに対応する

この記事では、Defender ポータルで Microsoft Sentinel を使用してインシデントに対応する方法について説明します。トリアージ、調査、解決について説明します。

前提条件

Defender ポータルでインシデントを調査します。

Microsoft Sentinel に使用する Log Analytics ワークスペースは、Defender ポータルにオンボードする必要があります。詳細については、「Microsoft Sentinel を Microsoft Defender ポータルに接続する」を参照してください。

Defender ポータルで作業する場合は、最初のトリアージ、解決、およびフォローアップの手順を行います。それ以外の場合と同様です。調査する場合は、次のことを確認してください。

Defender ポータルの追加 Microsoft Sentinel 領域は、次のような調査を深めるのに役立ちます。

詳細については、以下を参照してください。

Microsoft Sentinel のプレイブックと自動化ルールの機能を必ず利用してください。

プレイブック は、Microsoft Sentinel ポータルからルーチンとして実行できる調査および修復アクションのコレクションです。プレイブックは、脅威への対応を自動化および調整するのに役立ちます。これらは、インシデント、エンティティ、アラートに対して手動でオンデマンドで実行することも、自動化ルールによってトリガーされたときに、特定のアラートまたはインシデントに応答して自動的に実行されるように設定することもできます。詳細については、「プレイブックを使用して脅威への対応を自動化するを参照してください。
Automation ルール は、さまざまなシナリオに適用できる少数のルールセットを定義および調整できるようにすることで、Microsoft Sentinel で自動化を一元的に管理する方法です。詳細については、「自動化ルールを使用して Microsoft Sentinel で脅威への対応を自動化する」を参照してください。

Microsoft Sentinel ワークスペースを統合セキュリティ運用プラットフォームにオンボードした後、ワークスペースでの自動化の機能に違いがあることに注意してください。詳細については、統合セキュリティ運用プラットフォームを使用したAutomation に関する説明を参照してください。

インシデントを解決したら、インシデント対応リードにインシデントを報告し、フォローアップの可能性を確認して、より多くのアクションを決定します。例えば：

Tier 1 のセキュリティアナリストに、攻撃をより早く検出するように通知します。
Microsoft Defender XDR Threat Analytics の攻撃と、セキュリティ攻撃の傾向に関するセキュリティコミュニティを調査します。詳細については、Microsoft Defender XDR での脅威分析のに関するページを参照してください。
必要に応じて、インシデントの解決に使用したワークフローを記録し、標準のワークフロー、プロセス、ポリシー、プレイブックを更新します。
セキュリティ構成の変更が必要かどうかを判断し、それらを実装します。
オーケストレーションプレイブックを作成して、将来同様のリスクに対する脅威対応を自動化および調整します。詳細については、「Microsoft Sentinelのプレイブックを使用して脅威への対応を自動化する」を参照してください。

詳細については、以下を参照してください。