Microsoft 365 Security Center を使用してインシデントをリアルタイムで監視

2024 年 3 月 8 日

この技術的および教育的な記事は、セキュリティアナリスト、IT 管理者、およびシステムエンジニアが Microsoft 365 Defender ポータル (旧名 Microsoft 365 セキュリティセンター) を使用してリアルタイムのセキュリティインシデントを監視および管理できるようにすることを目的としています。このポータルは、Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps などの複数の Microsoft セキュリティソリューションの可視性とインシデント対応機能を統合し、セキュリティ運用のための集中プラットフォームを提供します [1]。

はじめに

進化し続けるサイバー脅威環境では、攻撃の影響を最小限に抑えるために、セキュリティインシデントを迅速かつ効率的に検出、調査、対応する能力が重要です。 Microsoft 365 Defender ポータルはコマンドアンドコントロールセンターとして機能し、さまざまな Microsoft 製品からのセキュリティアラートを総合的なインシデントに関連付けます。これにより、SecOps (セキュリティオペレーション) チームは攻撃の全体像を把握し、そのキルチェーンを理解し、より効果的に是正措置を講じることができます [2]。

このハウツーガイドでは、Microsoft 365 Defender ポータルの操作方法、インシデントキューの監視方法、相関アラートの調査方法、およびインシデントのライフサイクル管理方法について説明します。読者が Microsoft 365 環境でセキュリティ運用を最適化し、インシデント対応機能を向上できるように、段階的な手順、インターフェイスの使用例、検証方法が提供されます。

インシデント監視に Microsoft 365 Defender ポータルを使用する理由?

統合された可視性: 複数の Defender 製品 (エンドポイント、Office 365、ID、クラウドアプリ) からのセキュリティアラートを 1 つのダッシュボードに集約します。
自動相関: インシデント全体で関連するアラートを自動的に関連付け、攻撃に関するより豊富なコンテキストを提供します。
包括的な調査: イベントのタイムライン、攻撃グラフ、影響を受けるエンティティに関する詳細情報を含む詳細な調査ツールを提供します。
連携した対応: セキュリティチームが自動および手動のアクションを使用してインシデントに一元的に対応できるようにします。
対応の自動化 (SOAR): SOAR 機能と統合してインシデント対応タスクを自動化し、平均対応時間 (MTTR) を短縮します。

前提条件

Microsoft 365 Defender ポータルを使用してインシデントをリアルタイムで監視するには、次のアイテムが必要です。

ライセンス: ポータルへのアクセスと検出機能を含む、Microsoft 365 Defender 製品 (例: Microsoft 365 E5 Security、Microsoft 365 E5) の適切なライセンス [3]。
管理アクセス: Microsoft 365 Defender ポータル (https://security.microsoft.com) のセキュリティ管理者、セキュリティオペレーター、またはセキュリティ閲覧者のアクセス許可を持つアカウント。
アクティブな Defender 製品: Defender 製品 (Defender for Endpoint、Defender for Office 365、Defender for Identity、Defender for Cloud Apps) の少なくとも 1 つがアクティブであり、アラートを生成するように構成されている必要があります。
接続されたデータソース: セキュリティデータは、それぞれの Defender 製品によって取り込まれ、監視される必要があります。

ステップバイステップ: インシデントの監視と管理

Microsoft 365 Defender ポータルインターフェイスと、インシデントの監視と管理のための主要な機能を見てみましょう。

1. Microsoft 365 Defender ポータルへのアクセス

ブラウザを開いて「https://security.microsoft.com」に移動します。
必要な権限を持つアカウントでログインします。

2. インシデントキューの操作

インシデントキューは SecOps チームの中心点です。ここでは、関連するアラートがグループ化され、攻撃の状況に応じたビューが提供されます。

左側のナビゲーションペインで、インシデントとアラート > インシデントを選択します。
インシデントキューには、検出されたすべてのインシデントのリストが、重大度、ステータス、影響を受けるエンティティ、最後のアクティビティなどの情報とともに表示されます。

3. 特定のインシデントの分析

インシデントをクリックすると、関連するすべてのアラート、デバイス、影響を受けるユーザー、ユーザー、およびファイル。

インシデントキューで、インシデントの名前をクリックして詳細ページを開きます。
インシデントの詳細ページは、いくつかのタブで構成されています。
- 概要: 重大度、ステータス、分類、影響を受けるユーザーとデバイスなど、インシデントの概要を提供します。
- アラート: このインシデントに関連付けられたすべてのアラートをリストします。各アラートをクリックすると、その特定の詳細が表示されます。
- デバイス: インシデントに関係するすべてのデバイスを表示します。
- ユーザー: 影響を受けるユーザーまたは関与するユーザーをリストします。
- メールボックス: 影響を受けるメールボックスを表示します (Defender for Office 365 のアラートがある場合)。
- 調査: インシデントに応じて開始された自動調査が表示されます。
- 証拠と対応: 収集された証拠 (ファイル、IP、URL) と、推奨または実行された対応アクションを示します。
- グラフ: 攻撃チェーンを視覚的に表現し、アラート、エンティティ、イベント間の関係を示します。

4. インシデントのライフサイクルの管理

インシデント管理には、割り当て、分類、解決が含まれます。

インシデントの割り当て: インシデントの詳細ページの概要セクションで、インシデントを特定のアナリストに割り当てることができます。 [割り当て先] をクリックしてユーザーを選択します。
ステータスの変更: 調査の進行に応じて、インシデントの ステータス を変更します (例: 「新規」、「進行中」、「解決済み」)。
インシデントの分類: インシデントを解決するときは、学習とレポートの目的でインシデントを分類する必要があります。分類をクリックし、次を選択します。
- 「True Positive」 (それが本当の脅威である場合)
- False Positive (誤ったアラートの場合)
- 「予想されるアクティビティ」 (アラートをトリガーした正当なアクティビティの場合)
- 解決策を文書化するには コメント を追加してください。
コメントの追加: コメントと履歴 セクションを使用して、調査手順、調査結果、実行されたアクションを記録します。

5. 応答アクションの実行

調査に基づいて、ポータルから直接対応アクションを実行できます。

インシデント内の [デバイス] または [ユーザー] タブで、影響を受けるエンティティ (デバイスなど) を選択します。
利用可能なアクションは次のとおりです。
- デバイスを隔離: 脅威を阻止するためにデバイスをネットワークから切断します。
- アプリケーションの実行を制限: 許可されていないアプリケーションの実行を防ぎます。
- ウイルス対策スキャンの実行: デバイスの完全スキャンを開始します。
- 調査パッケージの収集: デバイスからログとフォレンジックデータを収集します。
- ユーザーを無効にする: Azure AD のユーザーアカウントを無効にします。
- ユーザーパスワードのリセット: ユーザーパスワードを強制的にリセットします。

検証とテスト

インシデントの監視を検証するには、攻撃シナリオをシミュレートし、Microsoft 365 Defender ポータルがそれを正しく検出して関連付けることを確認することが重要です。

1. 攻撃をシミュレートする (例: EICAR テスト)

EICAR (欧州コンピューターウイルス対策研究所) ファイルを使用して、マルウェア検出をシミュレートします (記事 1 - Defender for Endpoint で説明されています)。

Defender for Endpoint がオンボードされているデバイスで、EICAR ファイル (https://www.eicar.org/download/eicar.com.txt) をダウンロードまたは作成してみます。
Defender for Endpoint はファイルを検出してブロックする必要があります。
Microsoft 365 Defender ポータルで、インシデントとアラート > アラート に移動します。
EICAR 検出に関連するアラートが表示されます。
このアラートが既存のインシデントに関連付けられているかどうか、または新しいインシデントが作成されているかどうかを確認します。

2. 応答時間と相関関係を確認する

シミュレーション後にアラートが生成され、インシデントに関連付けられるまでにかかる時間を観察します。これは、リアルタイム監視の有効性を理解するのに役立ちます。

セキュリティのヒントとベストプラクティス

すべてのソースを統合: 最も完全なビューと最良のインシデント相関関係を得るために、できるだけ多くの Defender データソースと製品を Microsoft 365 Defender ポータルに接続します。
役割と責任の定義: インシデントの監視、調査、対応の責任者を明確に定めます。
簡単な応答を自動化: リソースを使用する自動化ツール (プレイブック) は、重大度の低いタイプのアラートに自動的に応答したり、重大度の高いアラートに関する追加情報を収集したりします。
最新の情報を入手する: プラットフォームは常に改善されているため、Microsoft 365 Defender の新機能については常に最新の情報を入手してください。
継続的なトレーニング: SecOps チームのトレーニングに投資して、最新のツールと攻撃戦術に精通してください。
シミュレーション演習: インシデントのシミュレーション演習を定期的に実施して、プロセスとツールの有効性をテストします。

一般的なトラブルシューティング

アラートがポータルに表示されない: 関連する Defender 製品がアクティブであり、正しく構成されていることを確認してください。データコネクタが動作し、ログを送信していることを確認してください。個々の Defender 製品の検出ルール設定を確認してください。
インシデント間で相関のないアラート: Microsoft 365 Defender は自動的に相関します。関連するアラートがグループ化されていない場合、ログの取り込みに遅延が発生するか、コンテキスト情報 (ユーザー、デバイス、IP) が自動相関付けに十分でない可能性があります。監査ログと取り込み時間を確認します。
ポータルのパフォーマンスの問題: ブラウザのキャッシュをクリアするか、別のブラウザを使用してみるか、ネットワーク接続を確認してください。データ量が多い場合、インターフェースのロードに時間がかかる場合があります。
応答アクションが失敗します: アクションを実行しようとしているアカウントの権限を確認してください。ターゲットのデバイスまたはユーザーがオンラインであり、Defender サービスからアクセスできることを確認してください。

結論

Microsoft 365 Defender ポータルは、効果的なプロアクティブおよびリアクティブなセキュリティ戦略を求める組織にとって不可欠なツールです。インシデント監視を一元化し、複数のソースからのアラートを関連付け、包括的な調査と対応機能を提供することで、SecOps チームが環境をリアルタイムで保護できるようになります。このプラットフォームを実装して効果的に使用すると、脅威の可視性が向上するだけでなく、応答時間が大幅に短縮され、最も高度な攻撃に対する組織のサイバー回復力が強化されます。

参考文献:

[1] Microsoft Learn。 Microsoft 365 Defender ポータル。入手可能場所: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Learn。 Microsoft 365 Defender のインシデントの概要。入手可能場所: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] Microsoft Learn。 Microsoft 365 Defender のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide