Defender for Cloud は、Azure、ハイブリッド、マルチクラウド リソース、ネットワーク、接続されたパートナー ソリューション (ファイアウォールやエンドポイント エージェントなど) からログ データを収集、分析、統合します。 Defender for Cloud では、ログ データを使用して実際の脅威を検出し、誤検知を減らします。 優先順位付けされたセキュリティ アラートの一覧が、問題をすばやく調査するために必要な情報と、攻撃を修復するために実行する手順と共に Defender for Cloud に表示されます。
この記事では、Defender for Cloud のアラートを表示して処理し、リソースを保護する方法について説明します。
セキュリティ アラートをトリアージするときは、アラートの重大度に基づいてアラートに優先順位を付け、最初に重大度の高いアラートに対処する必要があります。 アラートの分類方法の詳細を確認します。
ヒント
Microsoft Sentinel を含む SIEM ソリューションに Microsoft Defender for Cloud を接続し、選択したツールからアラートを使用できます。 SIEM、SOAR、または IT サービス管理ソリューションにアラートをストリーム配信する方法について説明します。
[前提条件]
前提条件と要件については、「 Defender for Cloud のサポート マトリックス」を参照してください。
セキュリティ アラートを管理する
次の手順に従います。
Azure portal にサインインします。
Microsoft Defender for Cloud>Security アラートに移動します。
(省略可能)関連するフィルターを使用してアラートの一覧をフィルター処理します。 [フィルターの追加] オプションを使用して、 追加のフィルターを追加 できます。
選択したフィルターに従って一覧が更新されます。 たとえば、システムの潜在的な侵害を調査しているため、過去 24 時間以内に発生したセキュリティ アラートに対処できます。
セキュリティ アラートを調査する
各アラートには、調査に役立つアラートに関する情報が含まれています。
セキュリティ アラートを調査するには:
アラートを選択します。 サイド ウィンドウが開き、アラートと影響を受けるすべてのリソースの説明が表示されます。
セキュリティ アラートに関する概要情報を確認します。
- アラートの重大度、状態、アクティビティ時間
- 検出された正確なアクティビティを説明する説明
- 影響を受けるリソース
- MITRE ATT&CK マトリックスのアクティビティのキル チェーンの意図 (該当する場合)
[View full details]\(完全な詳細を表示\) を選択します。
右側のウィンドウには、[ アラートの詳細 ] タブが表示され、問題の調査に役立つアラートの詳細 (IP アドレス、ファイル、プロセスなど) が表示されます。
右側のウィンドウには、[アクションの 実行 ] タブもあります。このタブを使用して、セキュリティ アラートに関する追加のアクションを実行します。 次のようなアクション:
- リソース コンテキストを検査 する - セキュリティ アラートをサポートするリソースのアクティビティ ログに送信します
- 脅威を軽減する - このセキュリティ アラートの手動修復手順を提供します
- 将来の攻撃を防ぐ - 攻撃対象領域の削減、セキュリティ体制の強化、将来の攻撃の防止に役立つセキュリティに関する推奨事項を提供します
- 自動応答をトリガー する - このセキュリティ アラートへの応答としてロジック アプリをトリガーするオプションを提供します
- 同様のアラートを抑制する - アラートが組織に関連しない場合に、同様の特性を持つ将来のアラートを抑制するオプションを提供します
![[アクションの実行] タブで使用できるオプションを示すスクリーンショット。](media/managing-and-responding-alerts/alert-take-action.png)
詳細については、リソース所有者に問い合わせて、検出されたアクティビティが誤検知であるかどうかを確認してください。 また、攻撃されたリソースによって生成された生ログを調査することもできます。
複数のセキュリティ アラートの状態を一度に変更する
アラートの一覧にはチェックボックスが含まれているため、一度に複数のアラートを処理できます。 たとえば、トリアージの目的で、特定のリソースのすべての情報アラートを無視することを決定できます。
一括処理するアラートに従ってフィルター処理します。
この例では、リソース
ASC-AKS-CLOUD-TALKのアラートのうち、重大度がInformationalのものが選択されています。
チェックボックスを使用して、処理するアラートを選択します。
この例では、すべてのアラートが選択されています。 [ 状態の変更 ] ボタンが使用できるようになりました。
[状態の変更] オプションを使用して、目的の状態を設定します。
![[セキュリティ アラートの状態] タブのスクリーンショット。](media/managing-and-responding-alerts/processing-alerts-bulk-change-status.png)
現在のページに表示されるアラートの状態は、選択した値に変更されます。
セキュリティ アラートに応答する
セキュリティ アラートを調査した後、Microsoft Defender for Cloud 内からアラートに応答できます。
セキュリティ アラートに応答するには:
[ アクションの実行 ] タブを開いて、推奨される応答を表示します。
![セキュリティ アラートの [アクションの実行] タブのスクリーンショット。](media/managing-and-responding-alerts/alert-details-take-action.png)
問題を 軽減 するために必要な手動の調査手順については、「脅威の軽減」セクションを確認してください。
リソースを強化し、この種の将来の攻撃を防ぐには、「 今後の攻撃を防ぐ 」セクションのセキュリティに関する推奨事項を修復します。
自動応答ステップを使用してロジック アプリをトリガーするには、[ 自動応答のトリガー ] セクションを使用し、[ ロジック アプリのトリガー] を選択します。
検出されたアクティビティ が悪意がない場合は 、[同様のアラートを抑制する] セクションを使用して、この種の今後のアラートを 抑制 し、[ 抑制ルールの作成] を選択できます。
このサブスクリプションのセキュリティ アラートに関する電子メールを受信するユーザーを表示するには、[ 電子メール通知設定の構成] を選択します。 電子メールの設定を構成するには、サブスクリプションの所有者に問い合わせてください。
アラートの調査を完了し、適切な方法で応答したら、状態を [無視済み] に変更します。
アラートは、メインのアラートの一覧から削除されます。 アラートの一覧ページのフィルターを使用すると、 状態が無視 されたすべてのアラートを表示できます。
アラートに関するフィードバックを Microsoft に提供することをお勧めします。
- アラートを [有用] または [役に立たない] としてマークします。
- 理由を選択し、コメントを追加します。
![アラートの有用性を選択できる [Microsoft へのフィードバックの提供] ウィンドウのスクリーンショット。](media/managing-and-responding-alerts/alert-feedback.png)
![セキュリティ アラートの [アクションの実行] タブのスクリーンショット。](media/managing-and-responding-alerts/alert-details-take-action.png#lightbox)
ヒント
お客様のフィードバックを確認して、アルゴリズムを改善し、より優れたセキュリティ アラートを提供します。
さまざまな種類のアラートの詳細については、「 セキュリティ アラート - リファレンス ガイド」を参照してください。
Defender for Cloud がアラートを生成する方法の概要については、「 Microsoft Defender for Cloud が脅威を検出して対応する方法」を参照してください。
エージェントレス スキャンの結果を確認する
エージェント ベースのスキャナーとエージェントレス スキャナーの両方の結果が、[セキュリティ アラート] ページに表示されます。
注
これらのアラートの 1 つを修復すると、次のスキャンが完了するまで、もう一方のアラートは修復されません。