Microsoft Defender XDRで Defender for Identity セキュリティ アラートを調査する
注:
Defender for Identity は、センサーがインストールされているサーバー上のすべての操作またはアクティビティをキャプチャする監査またはログ 記録ソリューションとして機能するようには設計されていません。 検出と推奨メカニズムに必要なデータのみをキャプチャします。
この記事では、Microsoft Defender XDRでMicrosoft Defender for Identityセキュリティ アラートを操作する方法の基本について説明します。
Defender for Identity アラートは、専用の ID アラート ページ形式でMicrosoft Defender XDRにネイティブに統合されます。
[ID アラート] ページでは、Microsoft Defender for Identityお客様により優れたクロスドメインシグナルエンリッチメントと新しい自動 ID 応答機能が提供されます。 これにより、セキュリティを確保し、セキュリティ操作の効率を向上させることができます。
Microsoft Defender XDRを使用してアラートを調査する利点の 1 つは、Microsoft Defender for Identityアラートがスイート内の他の各製品から取得した情報とさらに相関していることです。 これらの強化されたアラートは、Microsoft Defender for Office 365とMicrosoft Defender for Endpointから発生する他のMicrosoft Defender XDRアラート形式と一致します。 新しいページでは、ID に関連付けられているアラートを調査するために別の製品ポータルに移動する必要がなくなります。
Defender for Identity から発信されたアラートは、アラートの自動修復や疑わしいアクティビティに貢献できるツールとプロセスの軽減など、自動調査と応答 (AIR) 機能Microsoft Defender XDRトリガーできるようになりました。
重要
Microsoft Defender XDRとの収束の一環として、一部のオプションと詳細が Defender for Identity ポータルの場所から変更されました。 使い慣れた機能と新機能の両方を見つける場所については、以下の詳細をお読みください。
セキュリティ アラートを確認する
アラートには、[ アラート ] ページ、 [インシデント ] ページ、個々の デバイスのページ、 および [高度なハンティング ] ページなど、複数の場所からアクセスできます。 この例では、[ アラート] ページを確認します。
Microsoft Defender XDRで、[インシデント] & [アラート] に移動し、[アラート] に移動します。
![[アラート] メニュー項目](media/incidents-alerts.png#lightbox)
Defender for Identity からのアラートを表示するには、右上の [フィルター] を選択し、[サービス ソース] で [Microsoft Defender for Identity] を選択し、[適用] を選択します。
アラートは、 アラート名、 タグ、 重大度、 調査状態、 状態、 カテゴリ、 検出ソース、 影響を受けた資産、 最初のアクティビティ、最後の アクティビティの情報と共に表示されます。
セキュリティ アラート カテゴリ
Defender for Identity セキュリティ アラートは、一般的なサイバー攻撃キル チェーンで見られるフェーズのように、次のカテゴリまたはフェーズに分けられます。
アラートの管理
いずれかの アラートの [アラート名 ] を選択すると、アラートの詳細が表示されたページに移動します。 左側のウィンドウに、[ 何が起こったか] の概要が表示されます。
![[何が起こったか] ウィンドウ](media/what-happened.png#lightbox)
[ 何が起こったか ] ボックスの上には、アラートの [アカウント]、[ 宛先ホスト ]、[ ソース ホスト] のボタンがあります。 その他のアラートについては、追加のホスト、アカウント、IP アドレス、ドメイン、セキュリティ グループの詳細を示すボタンが表示される場合があります。 いずれかのエンティティを選択して、関連するエンティティの詳細を取得します。
右側のウィンドウに、[ アラートの詳細] が表示されます。 ここでは、詳細を確認し、いくつかのタスクを実行できます。
このアラートを分類する - ここでは、このアラートを True アラートまたは False アラートとして指定できます
[アラートの状態 ] - [分類の設定] で、アラートを True または False に分類できます。 [ 割り当て先] で、アラートを自分に割り当てるか、割り当てを解除できます。
![[アラートの状態] ウィンドウ](media/alert-state.png)
アラートの詳細 - [ アラートの詳細] で、特定のアラートの詳細を確認し、アラートの種類に関するドキュメントへのリンクに従い、アラートが関連付けられているインシデントを確認し、このアラートの種類にリンクされている自動調査を確認し、影響を受けるデバイスとユーザーを確認できます。
![[アラートの詳細] ページ](media/alert-details.png)
コメント & 履歴 - ここでは、アラートにコメントを追加し、アラートに関連付けられているすべてのアクションの履歴を確認できます。
![[コメント & 履歴] ページ](media/comments-history.png)
アラートの管理 - [ アラートの管理] を選択すると、次の内容を編集できるウィンドウに移動します。
状態 - [ 新規]、[ 解決済み ]、または [進行中] を選択できます。
分類 - True アラート または False アラートを選択できます。
コメント - アラートに関するコメントを追加できます。
[ アラートの管理] の横にある 3 つのドットを選択した場合は、[ アラートを別のインシデントにリンクする]、[ 抑制ルールの作成 ] (プレビューのお客様専用)、または [Defender エキスパートに質問] を選択できます。
![[アラートの管理] オプション](media/manage-alert.png)
アラートを Excel ファイルにエクスポートすることもできます。 これを行うには、[エクスポート] を選択 します。
注:
Excel ファイルで、2 つのリンクを使用できるようになりました。[Microsoft Defender for Identityで表示] と [Microsoft Defender XDRで表示] の 2 つのリンクが使用できるようになりました。 各リンクから関連ポータルに移動し、そこにアラートに関する情報を提供します。
![[アラートの状態] ウィンドウ](media/alert-state.png#lightbox)
![[アラートの詳細] ページ](media/alert-details.png#lightbox)
![[コメント & 履歴] ページ](media/comments-history.png#lightbox)
![[アラートの管理] オプション](media/manage-alert.png#lightbox)
アラートのチューニング
アラートを調整して最適化し、誤検知を減らします。 アラートチューニングを使用すると、SOC チームは優先度の高いアラートに集中し、システム全体の脅威検出カバレッジを向上させることができます。 Microsoft Defender XDRで、証拠の種類に基づいてルールの条件を作成し、条件に一致するすべてのルールの種類にルールを適用します。
詳細については、「 アラートの調整」を参照してください。
関連項目
詳細情報
- 対話型ガイドをお試しください:不審なアクティビティと潜在的な攻撃を検出するMicrosoft Defender for Identity