Microsoft Defender ポータルのタスクを使用してインシデント対応を合理化する (プレビュー)

Microsoft Defender ポータルのタスクを使用して、運用チーム全体でインシデントを共同で調査および解決します。インシデントを実用的なタスクに分割すると、運用効率が向上し、プロセス全体の説明責任が強化されます。

この記事では、タスクのしくみと、タスクを使用してMicrosoft Defender ポータルでインシデントを管理する方法について説明します。

タスクのしくみ

調査を明確で実用的な手順に分割し、チーム全体に割り当てます。

タスクの使用は、次の場合に特に役立ちます。

タスクパネルには、Security Copilotの概要、ガイド付き応答、レポートと共にタスクが表示され、インシデントを閉じるのに必要な進行状況と残りのアクションの包括的なビューが提供されます。

一貫性、コラボレーション、説明責任を確保するために、各タスクを分類、優先順位付け、割り当て、追跡します。タスクを閉じると、閉じるノートを追加して結果を文書化します。これらのメモは、完全な事後分析をサポートし、チームが各調査から学ぶのに役立ちます。

アクション	必要なアクセス許可
タスクの表示	Defender ポータルの [セキュリティ操作のアクセス許可] グループの読み取り専用アクセス許可またはセキュリティデータの基本 (読み取り)。
タスクを作成する	Defender ポータルのセキュリティ操作アクセス許可グループの下にあるすべての読み取りと管理のアクセス許可または応答 (管理)。

Defender ポータルでの統合 RBAC の詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)」を参照してください。

タスクを表示および管理するには:

Defender ポータルメニューで、[ インシデント & アラート>Incidents ] を選択してインシデントキューを開きます。
キューからインシデントを選択します。
[タスク] を選択して[タスク] サイドパネルを開きます。このパネルには、インシデントに関連付けられているすべてのタスクとSecurity Copilot分析情報が一覧表示されます。
新しいタスクを作成するには、[ タスクの追加] を選択します。

タスクの詳細を入力し、[ 保存] を選択します。
タスクの状態を更新するには、タスクプレビューカードの [状態] ドロップダウンから状態を選択します。
タスクを編集または削除するには、省略記号 (...) >編集または削除します。

Microsoft Sentinelを Defender ポータルにオンボードすると、Defender ポータルは、Azure portalを使用して、Sentinelで作成したタスクを自動的に同期します。

重要

同期は一方向です。Defender ポータルで作成したタスクは、Microsoft Sentinelに同期されません。

Defender ポータルはまだ自動タスクの作成をサポートしていませんが、引き続きタスク自動化ルール、ロジックアプリプレイブック、またはインシデントタスク REST API をAzureで使用して、Defender ポータルに同期されるタスクを作成できます。

このページはお役に立ちましたか?