重要
ポータルまたは Logic Apps を使用したインシデントの手動作成は、現在 プレビュー段階です。 ベータ版、プレビュー版、またはその他の一般提供にまだリリースされていない Azure 機能に適用される追加の法的条件については、 Microsoft Azure プレビューの追加使用条件 を参照してください。
インシデントの手動作成は、API を使用して一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新しいユーザーも自動的にオンボードされ、Azure portal から Defender ポータルにリダイレクトされます。 Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
セキュリティ情報およびイベント管理 (SIEM) ソリューションとして Microsoft Sentinel を使用すると、セキュリティ運用の脅威の検出と対応のアクティビティは、調査および修復する インシデント を中心としています。 これらのインシデントには、主に次の 2 つのソースがあります。
これらは、Microsoft Sentinel が接続されたデータ ソースから取り込むログとアラートに対して、検出メカニズムが動作するときに自動的に生成されます。
これらは、接続されている他の Microsoft セキュリティ サービス ( Microsoft Defender XDR など) から直接取り込まれます。
ただし、脅威データは、 Microsoft Sentinel に取り込まれていない他のソースや、ログに記録されていないイベントからも取得される可能性があり、調査を開始することを正当化できます。 たとえば、ある従業員が、見知らぬ人物が組織の情報資産に関連する不審なアクティビティを行っていることに気づく場合があります。 この従業員は、セキュリティ オペレーション センター (SOC) に電話またはメールでそのアクティビティを報告することがあります。
Azure portal の Microsoft Sentinel では、セキュリティ アナリストはソースやデータに関係なく、あらゆる種類のイベントに対するインシデントを手動で作成できるため、このような通常とは異なる種類の脅威を調査で見逃すことがありません。
一般的なユース ケース
報告されたイベントのインシデントを作成する
これは、上記の概要で説明したシナリオです。
外部システムのイベントからインシデントを作成する
ログが Microsoft Sentinel に取り込まれていないシステムのイベントに基づいてインシデントを作成します。 たとえば、SMS ベースのフィッシング キャンペーンでは、組織の企業ブランドとテーマを使用して、従業員の個人用モバイル デバイスを標的にする場合があります。 このような攻撃を調査する場合は、Microsoft Sentinel でインシデントを作成できます。これにより、調査の管理、証拠の収集とログ記録、対応と軽減措置の記録のためのプラットフォームが得られます。
ハンティング結果に基づいてインシデントを作成する
ハンティング アクティビティの観測結果に基づいてインシデントを作成します。 たとえば、特定の調査のコンテキストで、(または独自の) 脅威ハンティングを行っているときに、独自の個別調査が必要な、まったく関係のない脅威の証拠に遭遇する場合があります。
インシデントを手動で作成する
インシデントを手動で作成するには、次の 3 つの方法があります。
- Azure portal を使用してインシデントを作成する
- Microsoft Sentinel インシデント トリガーを使用して、Azure Logic Apps を使用してインシデントを作成します。
- インシデント操作グループを使用して、Microsoft Sentinel API を使用してインシデントを作成します。 これにより、インシデントの取得、作成、更新、削除を行うことができます。
手動で作成されたインシデントは、Microsoft Sentinel が Microsoft Defender ポータルにオンボードされた後は、Defender ポータルと同期されません。ただし、これらは引き続き Azure portal の Microsoft Sentinel で、Logic Apps と API を使用して管理することができます。
権限
インシデントを手動で作成するには、次のロールとアクセス許可が必要です。
| メソッド | 必要なロール |
|---|---|
| Azure portal と API | 次のいずれか: |
| Azure Logic Apps | 上記の 1 つ、プラス: |
Microsoft Sentinel のロールの詳細について説明します。
Azure portal を使用してインシデントを作成する
Microsoft Sentinel を選択し、ワークスペースを選択します。
Microsoft Sentinel のナビゲーション メニューで、[インシデント] を選択 します。
[インシデント] ページ で 、ボタン バーから [ + インシデントの作成 (プレビュー)] を選択します。
画面の右側に [ インシデントの作成 (プレビュー)] パネルが開きます。
パネルのフィールドに適宜入力します。
タイトル
- インシデントに対して選択したタイトルを入力します。 インシデントは、このタイトルでキューに表示されます。
- 必須。 無制限の長さのフリー テキスト。 空白はトリミングされます。
説明
- インシデントの発生元、関連するすべてのエンティティ、他のイベントとの関係、通知されたユーザーなどの詳細を含む、インシデントに関する説明情報を入力します。
- 省略可能。 最大 5,000 文字のフリー テキスト。
重大度
- ドロップダウン リストで重大度を選択します。 Microsoft Sentinel でサポートされているすべての重大度を使用できます。
- 必須。 既定値は "中" です。
地位
- ドロップダウン リストで状態を選択します。 Microsoft Sentinel でサポートされているすべての状態を使用できます。
- 必須。 既定値は "新規" です。
- 状態が "終了" のインシデントを作成し、その後手動で開いて変更を加え、別の状態を選択できます。 ドロップダウンから [終了] を選択すると 、分類理由 フィールドがアクティブになり、インシデントを閉じる理由を選択してコメントを追加できます。
所有者
- テナントで使用可能なユーザーまたはグループから選択します。 名前の入力を開始して、ユーザーとグループを検索します。 フィールドを選択 (クリックまたはタップ) すると、候補の一覧が表示されます。 一覧の上部にある [自分への割り当て] を選択して、インシデントを自分に割り当てます。
- 省略可能。
タグ
- タグを使用してインシデントを分類し、キュー内でフィルター処理して検索します。
- プラス記号アイコンを選択し、ダイアログ ボックスにテキストを入力し、[OK] を選択して、タグを作成します。 オート コンプリートでは、過去 2 週間にワークスペース内で使用されたタグが提案されます。
- 省略可能。 フリー テキスト。
パネルの下部にある [ 作成 ] を選択します。 数秒後にインシデントが作成され、インシデント キューに表示されます。
インシデントに状態 "Closed" を割り当てると、状態フィルターを変更して閉じたインシデントも表示するまで、その 状態 はキューに表示されません。 既定では、フィルターは、状態が "新規" または "アクティブ" のインシデントのみを表示するように設定されています。
キュー内のインシデントを選択して、詳細の表示、ブックマークの追加、所有者と状態の変更などを行います。
インシデントの作成に関する事実の後に何らかの理由で気が変わる場合は、キュー グリッドまたはインシデント自体から 削除 できます。 インシデントを削除するには、 Microsoft Sentinel 共同作成者 ロールが必要です。
Azure Logic Apps を使用してインシデントを作成する
インシデントの作成は、Microsoft Sentinel コネクタの Logic Apps アクションとして、そのため Microsoft Sentinel プレイブックでも使用できます。
インシデント トリガーのプレイブック スキーマには、 インシデントの作成 (プレビュー) アクションがあります。
次の説明に従ってパラメーターを指定する必要があります。
サブスクリプション、リソース グループ、ワークスペース名をそれぞれのドロップダウンから選択します。
残りのフィールドについては、上記の説明を参照してください ([ Azure portal を使用してインシデントを作成する] の下)。
Microsoft Sentinel には、この機能の使用方法を示すサンプル プレイブック テンプレートがいくつか用意されています。
- Microsoft Form でインシデントを作成する
- 共有メール受信トレイからインシデントを作成する
Microsoft Sentinel Automation ページのプレイブック テンプレート ギャラリーで見つけることができます。
Microsoft Sentinel API を使用してインシデントを作成する
インシデント操作グループを使用すると、インシデントの作成だけでなく、インシデントの更新 (編集)、取得 (取得)、一覧表示、削除も行えます。
次 のエンドポイントを 使用してインシデントを作成します。 この要求が行われた後、インシデントはポータルのインシデント キューに表示されます。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
要求本文の例を次に示します。
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
Notes
手動で作成したインシデントには、エンティティやアラートは含まれません。 そのため、既存 のアラートを インシデントに関連付けるまで、インシデント ページの [アラート] タブは空のままになります。
手動で作成されたインシデントにエンティティを直接追加することは現在サポートされていないため、[エンティティ] タブも空のままです。 (このインシデントにアラートを関連付ける場合、インシデントにはアラートのエンティティが表示されます)。
手動で作成されたインシデントでは、キューに 製品名 も表示されません。
インシデント キューは既定でフィルター処理され、状態が "新規" または "アクティブ" のインシデントのみが表示されます。状態が "終了" のインシデントを作成した場合、状態フィルターを変更して閉じられたインシデントも表示されるようにするまで、キューに表示されません。
次のステップ
詳細については、次を参照してください。