インシデント管理

  • 5 分

Microsoft Sentinel を使ってインシデントを生成し始めたら、あなたと Contoso の IT チームはインシデントを調査できるようになります。 Microsoft Sentinel には高度な調査と分析のツールが用意されており、情報を収集し、修復手順を決定するために使用できます。

インシデントの確認

セキュリティの問題を特定して解決するには、まずインシデントがないかを調査します。 Microsoft Sentinel の [概要] ページには、最新インシデントの一覧が表示され、簡単に参照できます。 インシデントの詳細と全般的な概要を確認するには、[インシデント] ページを使います。このページには、現在のワークスペースのすべてのインシデントとそれらのインシデントの詳細が表示されます。

[インシデント] ページには、Microsoft Sentinel でのインシデントの完全な一覧が表示されます。 このページには、基本的なインシデント情報も表示されます。 たとえば、重要度、ID、タイトル、アラート、製品名、作成時間、最終更新時間、所有者、状態などの情報です。 任意のインシデント列で並べ替えることができ、名前、重大度、状態、製品名、または所有者でインシデント一覧をフィルター処理できます。

Microsoft Sentinel のインシデント一覧のスクリーンショット。

このページで、インシデントを調査するためのさまざまな手順を行います。

重要

インシデントを調査する Microsoft Entra ユーザーは、Directory リーダー ロールのメンバーである必要があります。

インシデントの詳細を調べる

[インシデント] ページで任意のインシデントを選ぶと、右ペインにインシデントに関する詳細情報が表示されます。 このペインには、インシデントの説明と、関連する証拠、エンティティ、戦術の一覧が表示されます。 また、関連付けられているブックと、インシデント生成元の分析ルールへのリンクも表示されます。 この情報は、インシデントの種類、コンテキスト、一連の措置を明確にするのに役立ちます。

インシデントの詳細ウィンドウのスクリーンショット。

インシデントの詳細ウィンドウで [View full details] (詳細表示) を選ぶと、[インシデント] ページが開き、インシデントに関する詳細が表示されます。 これらの詳細を使って、インシデントのコンテキストをより深く理解することができます。 たとえば、ブルート フォース攻撃インシデントの場合、アラートの Log Analytics クエリに移動して、攻撃の回数を判断できます。

インシデントの所有権、状態、重大度の管理

Microsoft Sentinel で作成される各インシデントには、表示および管理できるメタデータがアタッチされています。 この情報を使って、次のことを実行できます。

  • インシデントの所有権を割り当てて追跡する。
  • インシデントの作成から解決まで、状態を設定して追跡する。
  • 重大度を設定して確認する。

このスクリーンショットには、[インシデント] ページで所有権、状態、重大度を割り当てることができるセクションが表示されています。

所有権

一般的な環境では、セキュリティ チームから各インシデントに所有者を割り当てる必要があります。 インシデントの所有者は、調査や状態の更新など、全体的なインシデント管理を担当します。 さらに調査やエスカレーションを行うために、いつでも所有権を変更してインシデントを別のセキュリティ チーム メンバーに割り当てることができます。

Status

Microsoft Sentinel で作成されたすべての新しいインシデントには、[新規] の状態が割り当てられます。 インシデントを確認して対応するときに、インシデントの現在の状態を反映するように手動で状態を変更します。 調査中のインシデントについては、状態を [アクティブ] に設定します。 インシデントが完全に解決したら、状態を [解決済み] に設定します。

状態を "解決済み" に設定すると、次の解決策のいずれかを選ぶように求められます。

  • [True Positive - Suspicious activity] (真陽性 - 疑わしいアクティビティ)
  • Benign Positive - Suspicious but expected (無害な陽性 - 疑わしいが想定されたもの)
  • False Positive - Incorrect alert logic (擬陽性 - 誤ったアラート ロジック)
  • False Positive - Inaccurate data (擬陽性 - 不正確なデータ)
  • [Undetermined](不明)

重大度

まず、インシデントを生成したルールまたは Microsoft セキュリティ ソースによって重大度が設定されます。 ほとんどの場合、インシデントの重大度を変更することはありませんが、インシデントの重大度が最初に分類されたよりも高い、または低いと自分で判断した場合は、重大度を変更することができます。 重大度のオプションは [情報][低][中][高] です。

調査グラフを使用する

インシデントを詳細に調査するには、[インシデント] ページで [調査] を選びます。 この操作により、調査グラフが開きます。これは、攻撃に関係するエンティティと、それらのエンティティ間の関係を特定するのに役立つビジュアル ツールです。 インシデントに一定期間にわたって複数のアラートが含まれている場合は、アラートのタイムラインとアラート間の相関関係を確認することもできます。

調査グラフが表示されてるスクリーンショット。

エンティティの詳細を確認する

グラフ上の各エンティティを選択すると、エンティティに関する詳細情報を確認できます。 この情報には、他のエンティティとの関係、アカウントの使用状況、データ フローの情報などが含まれます。 情報領域ごとに、Log Analytics の関連イベントに移動して、関連するアラート データをグラフに追加できます。

インシデントの詳細を確認する

グラフ上のインシデント項目を選ぶと、インシデントのセキュリティと環境のコンテキストに関連するインシデント メタデータを確認できます。

自分の知識をチェックする

1.

インシデントを次のレベルのセキュリティ チームにエスカレートするには、どのインシデント パラメーターを変更する必要がありますか?

2.

どの Microsoft Sentinel インターフェイスを使うと、インシデント リソース間のタイムラインと関係を表示できますか?