Microsoft Defender for Cloud でセキュリティ インシデントを管理する
セキュリティ アラートのトリアージと調査は、熟練のセキュリティ アナリストでさえ長時間を要することのある作業です。 多くのユーザーにとっては、どこから始めればよいかを判断することも困難です。
Defender for Cloud では、 分析を使用して 、個別のセキュリティ アラート 間で情報 を接続します。 これらの接続を使用すると、Defender for Cloud は攻撃キャンペーンとその関連アラートを 1 つのビューで表示して、攻撃者のアクションと影響を受けるリソースを把握するのに役立ちます。
このページでは、Defender for Cloud でのインシデントの概要について説明します。
セキュリティ インシデントとは
Defender for Cloud では、セキュリティ インシデントは、キル チェーン パターンに合ったリソースのすべてのアラート の 集計です。 インシデントは [セキュリティ アラート] ページの一覧に表示されます。 インシデントを選択すると、関連するアラートと詳細情報が表示されます。
セキュリティ インシデントを管理する
Defender for Cloud の [セキュリティ アラート] ページで、[フィルターの追加] ボタンを使用して、アラート名でフィルター処理し、アラート名 [複数のリソースで検出されたセキュリティ インシデント] にします。
一覧がフィルター処理され、インシデントのみが表示されるようになりました。 セキュリティ インシデントには、セキュリティ アラートとは異なるアイコンが付いています。
インシデントの詳細を表示するには、一覧から 1 つを選択します。 サイド ペインに、インシデントの詳細が表示されます。
詳細を表示するには、 [すべての詳細を表示] を選択します。
セキュリティ インシデント ページの左側のウィンドウには、セキュリティ インシデントに関する概要情報 (タイトル、重要度、状態、アクティビティ時間、説明、影響を受けるリソース) が表示されます。 影響を受けるリソースの横に、関連する Azure タグが表示されます。 これらのタグを使用して、アラートを調査するときにリソースの組織コンテキストを推測します。
右側のウィンドウには、このインシデントの一部として関連付けられたセキュリティ アラートを含む [アラート] タブが表示されます。
ヒント
具体的なアラートの詳細については、そのアラートを選択してください。
[アクションの実行] タブに切り替えるには、右側のウィンドウの下部にあるタブまたはボタンを選択します。 このタブを使用すると、次のような操作を実行できます。
- [Mitigate the threat](脅威の軽減) - このセキュリティ インシデントに対する手動の修復手順を提供します
- [Prevent future attacks](将来の攻撃防止) - セキュリティに関する推奨事項を提供して、攻撃対象を減らし、セキュリティ体制を強化し、将来の攻撃を防ぐことができるようにします
- [Trigger automated response](自動応答のトリガー) - このセキュリティ インシデントへの応答としてロジック アプリをトリガーするオプションを提供します
- [Suppress similar alerts](類似のアラートの抑制) - 組織に関連しないアラートの場合、同様の特性を持つ今後のアラートを抑制するオプションを提供します
注意
同じアラートが 1 つのインシデントに含まれることもあれば、スタンドアロン アラートとして表示されることもあります。
インシデントの脅威を修復するには、各アラートに対する修復手順に従います。
次のステップ
このページでは、Defender for Cloud のセキュリティ インシデント機能について説明しました。 関連情報については、次のページを参照してください。