Microsoft Defenderケース管理は、セキュリティに重点を置いた統合されたケース管理エクスペリエンスを提供する機能のコレクションです。 このエクスペリエンスは、サードパーティ製ツールを必要とせずに、Microsoft Defender ポータルで統合セキュリティ操作をネイティブに管理するために設計されています。 セキュリティ運用チームは、セキュリティ コンテキストを維持し、より効率的に作業し、Defender ポータルを離れずにケースワークを管理するときに攻撃に迅速に対応します。
ケース管理ロールアウトの現在の導入フェーズでは、SecOps ワークロード全体で豊富なコラボレーション、カスタマイズ、証拠収集、レポートが一元化されます。
ケース管理とは
ケース管理を使用すると、Defender ポータルで SecOps ケースをネイティブに管理できます。 最初の段階でも、SecOps チームはケース管理の次のユース ケースを示しています。
複数のインシデントにまたがるセキュリティ イベントへの対応。
脅威ハンティングの管理。
IoC と脅威アクターの追跡。
チューニングが必要な追跡検出ロジック。
次の特定の機能は、これらのユース ケースとシナリオをサポートしています。
- 新しい [ケース ] ページを使用して、SecOps 関連のケースを 1 か所で作成して追跡します。
- カスタム状態値を構成して、独自のケース ワークフローを定義します。
- タスクと期限を割り当てることで、コラボレーション、品質、アビリティを向上させます。
- 複数のインシデントをケースにリンクすることで、エスカレーションと複雑なケースを処理します。
- RBAC を使用してケースへのアクセスを管理します。
- リッチ テキスト コメントを追加して、リンク、テーブル、および書式設定をアクティビティ ログに提供します。
- 添付ファイルをアップロードして、ドキュメント、CSV、マルウェア サンプルを含む暗号化された zip ファイルなどのファイルを格納します。
- マルチテナント管理ポータルを使用して、複数のテナントでケースを管理します。
このケース管理の基盤を構築する際には、このソリューションを進化させるにつれて、次の追加の堅牢な機能を優先します。
- オートメーション
- 追加するその他の証拠
- ワークフローのカスタマイズ
- その他の Defender ポータル統合
要件
ケース管理は Defender ポータルで使用でき、それを使用するには、Microsoft Sentinel ワークスペースが接続されている必要があります。 ケースには Defender ポータルからのみアクセスできます。Azure portalに表示されません。
詳細については、「 Microsoft Sentinel を Defender ポータルに接続する」を参照してください。
統合 RBAC または Microsoft Sentinel ロールDefender XDR使用して、ケース管理機能へのアクセスを許可します。
| ケース機能 | 統合 RBAC のMicrosoft Defender | Microsoft Sentinel ロール |
|---|---|---|
| 表示のみ ケース キュー ケースの詳細 - タスク コメント - ケース監査 |
セキュリティ操作 > セキュリティ データの基本 (読み取り) | Microsoft Sentinel 閲覧者 |
| ケースとケース タスクの作成と管理 割り当て - 更新の状態 - インシデントのリンクとリンク解除 |
セキュリティ操作 > アラート (管理) | Microsoft Sentinel レスポンダー |
| ケースの状態オプションをカスタマイズする | コア セキュリティ設定 > 承認と設定 (管理) | Microsoft Sentinel 共同作成者 |
詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)」を参照してください。
ケース キュー
ケース管理の使用を開始するには、Defender ポータルで [ケース ] を選択してケース キューにアクセスします。 ケースをフィルター処理、並べ替え、検索して、焦点を絞る必要があるものを見つけます。
ケースの詳細
各ケースには、アナリストがケースを管理し、重要な詳細を表示できるページがあります。
次の例では、脅威ハンターが、複数の MITRE ATT&CK® 手法と侵害のインジケーター (IoC) で構成される架空の "バローニング" 攻撃を調査しています。
次のケースの詳細を管理して、作業の説明、優先順位付け、割り当て、追跡を行います。
| 表示されるケース機能 | ケース オプションを管理する | 既定値 |
|---|---|---|
| 優先度 |
Very low, Low, Medium, High, Critical |
none |
| 状態 | アナリストによる設定、管理者によるカスタマイズ | 既定の状態は New、 Open、 Closed既定の値は New |
| 割り当て先 | テナント内の 1 人のユーザー | none |
| 説明 | テキスト | none |
| ケースの詳細 | ケース ID | ケース ID は 1000 から始まり、消去されません。 ケースをアーカイブするには、カスタムの状態とフィルターを使用します。 ケース番号は自動的に設定されます。 |
| 作成者 Created on Last updated by Last updated on |
自動的に設定 | |
| 期限 リンクされたインシデント |
none |
カスタマイズされた状態の設定、タスクの割り当て、インシデントのリンク、コメントの追加により、ケースをさらに管理します。
状態のカスタマイズ
セキュリティ オペレーション センター (SOC) のニーズに合わせてケース管理を設計します。 SecOps チームが使用できる状態オプションを、使用しているプロセスに合わせてカスタマイズします。
侵入攻撃ケースの作成例に続いて、SOC 管理者は、脅威ハンターがトリアージの脅威のバックログを週単位で保持できるようにする状態を構成しました。 リサーチ フェーズや生成仮説などのカスタム状態は、この脅威ハンティング チームの確立されたプロセスと一致します。
タスク
ケースの詳細なコンポーネントを管理するタスクを追加します。 各タスクには、独自の名前、状態、優先度、所有者、期限が付属しています。 この情報を使用すると、どのタスクをいつまでに完了する責任があるかが常にわかります。 タスクの説明は、実行する作業と進行状況を説明するための領域をまとめたものです。 終了ノートは、完了したタスクの結果に関するより多くのコンテキストを提供します。
使用可能なタスクの状態を示す図: 新規、進行中、失敗、部分的完了、スキップ、完了
オブジェクトをリンクする
ケースを環境内の他のオブジェクトにリンクすると、SecOps チームが脅威のより広範なコンテキストを理解するのに役立ちます。 ケースをインシデントまたは 侵害のインジケーター (IoC) にリンクできます。
インシデントをリンクする
ケースとインシデントをリンクすると、SecOps チームが最適な方法で共同作業を行うことができます。 たとえば、悪意のあるアクティビティを検出した脅威ハンターは、インシデント対応 (IR) チームのインシデントを作成します。 その脅威ハンターは、インシデントをケースにリンクして、関連していることは明らかです。 IR チームは、アクティビティを見つけたハントのコンテキストを理解します。
または、IR チームが 1 つ以上のインシデントをハンティング チームにエスカレートする必要がある場合は、ケースを作成し、[ 調査] & 対応 インシデントの詳細ページからインシデントをリンクできます。
リンク インジケーター (プレビュー)
ケースを関連する侵害インジケーター (IOC) にリンクすると、SecOps チームが脅威のより広範なコンテキストを理解するのに役立ちます。
ケースを IOC にリンクするには、[ケース] ページの [ リンクされたオブジェクト ] タブに移動し、[インジケーター] を選択 します。 次に、[ 追加 ] ボタンを選択し、TI インジケーターが含まれているワークスペースを選択します。 目的の TI インジケーターを選択し、[ リンク] をクリックします。
または、ケースを作成し、Intel 管理インジケーターの詳細ページからインジケーターをリンクすることもできます。 TI インジケーターを選択し、[ リンク ケース] を選択します。
アクティビティ ログ
メモを書き留める必要があるか、または渡すためにそのキー検出ロジックが必要ですか? リッチ テキスト コメントを作成し、アクティビティ ログの監査イベントを確認します。 コメントは、クエリ、テーブル、リンク、構造化コンテンツなどの情報をすばやくケースに追加するのに最適な場所です。
監査イベントはケースのアクティビティ ログに自動的に追加され、最新のイベントが上部に表示されます。 コメントまたは監査履歴に焦点を当てる必要がある場合は、フィルターを変更します。
添付ファイル
レポート、電子メール、スクリーンショット、ログ ファイルなどを共有し、すべてケースの [ 添付ファイル ] タブで一元化します。 セキュリティ調査で迅速かつ正確な意思決定を行うために必要なすべての情報があることを確認します。
![ケースの [添付ファイル] タブの詳細のスクリーンショット。](media/cases-overview/case-attachments.png)
コメントごとに最大 10 個のファイルを添付できます。
ケースに添付ファイルを追加する
ケースに添付ファイルを追加するには、[ ケースの詳細 ] ページに移動し、[ 添付ファイル ] タブを選択し、[ アップロード] を選択し、ファイルを選択して、アップロードが完了するまで待ちます。 アップロードされると、ファイルはバックグラウンドでマルウェアのスキャンを行います。 スキャンが完了すると、ケースにアクセスできるすべてのユーザーがファイルをダウンロードできます。 アップロードするファイルが実際にはマルウェアのサンプルである場合は、パスワードで保護された ZIP ファイルにラップできます。
コメントに添付ファイルを追加する (プレビュー)
添付ファイルをコメントに追加するには:
[ケース] ページのコメント領域に移動します。
画面の下部にあるテキスト エディターに移動し、クリップ アイコンを選択してファイルを添付します。
コンピューターから添付するファイルを選択します。
[ 送信] を選択してコメントを保存します。
![コメントを保存する [送信] ボタンを示すスクリーンショット。](media/cases-overview/attach-file-to-comment-send.png)
- コメントにスクリーンショットを添付するには、テキスト エディターに貼り付けます。
- コメントから添付ファイルを削除するには、ビン アイコンをポイントしながら選択します。
ケースの削除 (プレビュー)
ケースを削除する方法は、次のとおりです。
[ケース] 画面を開き、削除するケースを選択し、[ 削除] を選択します。
![ケースの詳細ウィンドウの [削除] オプションを示すスクリーンショット。](media/cases-overview/delete-case.png)
ポップアップ ウィンドウで、「 delete 」と入力し、[ 確認] を選択します。
制限事項
「 ケース管理の制限」を参照してください。