インシデントとアラートを調査する

Microsoft Defender ポータルの Microsoft Defender for IoT には、インシデントとアラートが表示されます。これにより、運用テクノロジ (OT) ネットワークに記録されたイベントに関するリアルタイムの詳細を使用して、ネットワークのセキュリティと運用が強化されます。

アラートは、すべてのインシデントの起点であり、環境内での悪意のあるイベントまたは疑わしいイベントの発生を示します。 インシデント内では、ネットワークに影響を与えるアラートを分析し、その意味を理解し、証拠を照合して、効果的な修復計画を立てることができるようにします。

Defender ポータル でアラート と インシデントの 詳細を確認します。

この記事では、Microsoft Defender for IoT インシデントとそれに関連するアラートを調査する方法と、アラートによって発生するセキュリティの問題を修復する方法について説明します。

[インシデント] ページのアラートは、IT と OT 環境のシグナルを一意に組み合わせて、潜在的な脅威とデータ リークを検出します。 [ インシデント] ページには、 次の情報が表示されます。

• インシデントに接続されたアラートの履歴とインシデント グラフ。 グラフには、影響を受ける OT デバイスに接続されている他のデバイスも侵害される可能性があることを示しています。
• 検出されたセキュリティの問題の種類を説明するアラートの説明。
• セキュリティの問題を解決するための修復オプション。

アラートを調査する

アラートを調査するには:

1. Microsoft Defender ポータル メニューで、[インシデント] & [インシデント] > [アラート] を選択します。

2. OT 関連のインシデントを表示するには:

   1. [ フィルターの追加] を選択します。
   2. [ 製品名 ] を選択し、[追加] を選択 します。
   3. 表示される [ 製品名 ] タブを選択し、「 Defender for IoT」と入力します。
   4. [適用] を選択します。

3. インシデントを見つけて選択します。

   特定のインシデント ページには、アラート タイムライン、インシデント グラフ、インシデントの詳細で構成される攻撃ストーリーが表示されます。

4. アラートの一覧からアラートを選択します。

   インシデント グラフとインシデントの詳細には、このアラートの特定のデータが表示されます。

5. [ インシデント ] パネルで、情報を確認し、 アラートの説明、 証拠 、 影響を受けた資産 を読み、 アラートの推奨アクション に従って問題を修復します。

Defender for IoT アラート

Defender for IoT は独自のアラートを生成します。

高度な追及

DeviceInfo テーブルに一覧表示されている Site プロパティを使用して、高度なハンティング用のクエリを記述します。 これにより、特定のサイトで悪意のあるデバイスと通信したすべてのデバイスなど、特定のサイトに従ってデバイスをフィルター処理できます。

次のクエリでは、サンフランシスコ サイトの特定の IP アドレスを持つすべてのエンドポイント デバイスの一覧を示します。

DeviceInfo
|where Site == "SanFrancisco" and PublicIP == "192.168.1.1" and DeviceCategory == "Endpoint"

これは、デバイス インベントリとサイト セキュリティの両方に関連します。 詳細については、「 Advanced hunting」と「Advanced huntingDeviceInfo スキーマ」を参照してください。