重要
ポータルまたは Logic Apps を使用した手動インシデントの作成は、現在 プレビュー段階です。 ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件については、「Microsoft Azure プレビューの補足使用条件」を参照してください。
手動インシデントの作成は、API を使用して一般提供されます。
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。 2025 年 7 月以降、多くの新規顧客が自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「移動する時間: セキュリティを強化するためにMicrosoft SentinelのAzure portalを廃止する」を参照してください。
Microsoft Sentinelをセキュリティ情報とイベント管理 (SIEM) ソリューションとして使用すると、セキュリティ運用の脅威検出と対応アクティビティは、調査および修復するインシデントを中心にしています。 これらのインシデントには、次の 2 つの主要なソースがあります。
検出メカニズムが、接続されたデータ ソースから取り込まれるログとアラートMicrosoft Sentinel操作すると、自動的に生成されます。
これらは、接続されている他の Microsoft セキュリティ サービス (Microsoft Defender XDR など) から直接取り込まれます。
ただし、脅威データは、Microsoft Sentinelに取り込まれていない他のソースや、ログに記録されていないイベントから取得される場合もありますが、調査を開始することを正当化することもできます。 たとえば、従業員は、organizationの情報資産に関連する不審なアクティビティに関与している認識されていない人に気付く場合があります。 この従業員は、セキュリティ オペレーション センター (SOC) に電話またはメールでアクティビティを報告する場合があります。
Azure portalのMicrosoft Sentinelを使用すると、セキュリティ アナリストは、ソースやデータに関係なく、あらゆる種類のイベントのインシデントを手動で作成できるため、このような異常な種類の脅威の調査を見逃す必要はありません。
一般的なユース ケース
報告されたイベントのインシデントを作成する
これは、上記の概要で説明したシナリオです。
外部システムからイベントからインシデントを作成する
ログがMicrosoft Sentinelに取り込まれていないシステムからのイベントに基づいてインシデントを作成します。 たとえば、SMS ベースのフィッシング キャンペーンでは、organizationの企業ブランドとテーマを使用して、従業員の個人用モバイル デバイスをターゲットにする場合があります。 このような攻撃を調査し、Microsoft Sentinelでインシデントを作成して、調査を管理し、証拠を収集してログに記録し、応答と軽減アクションを記録するためのプラットフォームを用意することができます。
ハンティング結果に基づいてインシデントを作成する
ハンティング アクティビティの観察結果に基づいてインシデントを作成します。 たとえば、特定の調査 (または自分で) のコンテキストでの脅威ハンティング中に、独自の個別の調査を保証する完全に無関係な脅威の証拠に遭遇する可能性があります。
インシデントを手動で作成する
インシデントを手動で作成するには、次の 3 つの方法があります。
- Azure portalを使用してインシデントを作成する
- Microsoft Sentinel インシデント トリガーを使用して、Azure Logic Apps を使用してインシデントを作成します。
- インシデント操作グループを使用して、Microsoft Sentinel API を使用してインシデントを作成します。 これにより、インシデントを取得、作成、更新、削除できます。
Microsoft Defender ポータルにMicrosoft Sentinelオンボードした後、手動で作成されたインシデントは Defender ポータルと同期されませんが、Azure portalのMicrosoft Sentinelや Logic Apps と API を使用して表示および管理することはできます。
アクセス許可
インシデントを手動で作成するには、次のロールとアクセス許可が必要です。
| メソッド | 必要な役割 |
|---|---|
| Azure portalと API | 以下のいずれか: |
| Azure Logic Apps | 上記の 1 つを加えたもの: |
Microsoft Sentinelのロールの詳細については、こちらをご覧ください。
Azure portalを使用してインシデントを作成する
[Microsoft Sentinel] を選択し、ワークスペースを選択します。
Microsoft Sentinel ナビゲーション メニューで、[インシデント] を選択します。
[インシデント] ページ で 、ボタン バーから [ + インシデントの作成 (プレビュー)] を選択します。
画面の右側に [ インシデントの作成 (プレビュー)] パネルが開きます。
それに応じてパネルのフィールドに入力します。
Title
- インシデントに対して選択したタイトルを入力します。 インシデントは、このタイトルのキューに表示されます。
- 必須です。 長さが無制限のフリー テキスト。 スペースはトリミングされます。
説明
- インシデントの発生元、関連するすべてのエンティティ、他のイベントとの関係、通知されたユーザーなどの詳細など、インシデントに関する説明情報を入力します。
- 省略可能。 最大 5,000 文字のフリー テキスト。
重大度
- ドロップダウン リストから重大度を選択します。 Microsoft Sentinelサポートされているすべての重大度を使用できます。
- 必須です。 既定値は "Medium" です。
状態
- ドロップダウン リストから状態を選択します。 Microsoft Sentinelサポートされているすべての状態を使用できます。
- 必須です。 既定値は "新規" です。
- 状態が "closed" のインシデントを作成し、後で手動で開いて変更を加え、別の状態を選択できます。 ドロップダウンから "closed" を選択すると、インシデントを閉じる理由を選択してコメントを追加するための 分類理由 フィールドがアクティブになります。
Owner
- テナントで使用可能なユーザーまたはグループから選択します。 ユーザーとグループを検索する名前の入力を開始します。 フィールドを選択 (クリックまたはタップ) すると、候補の一覧が表示されます。 一覧の上部にある [自分に割り当てる] を選択して、インシデントを自分に割り当てます。
- 省略可能。
Tags
- タグを使用してインシデントを分類し、それらをキュー内でフィルター処理して見つけます。
- プラス記号アイコンを選択し、ダイアログ ボックスにテキストを入力し、[OK] を選択してタグを作成します。 自動補完では、前の 2 週間にわたってワークスペース内で使用されたタグが提案されます。
- 省略可能。 フリー テキスト。
パネルの下部にある [ 作成 ] を選択します。 数秒後、インシデントが作成され、インシデント キューに表示されます。
インシデントに "Closed" の状態を割り当てると、 ステータス フィルターを変更して閉じたインシデントも表示するまでキューに表示されません。 フィルターは、既定で [新規] または [アクティブ] の状態のインシデントのみを表示するように設定されています。
キュー内のインシデントを選択して、その詳細の表示、ブックマークの追加、所有者と状態の変更などを行います。
何らかの理由でインシデントの作成に関する事実の後に考えを変える場合は、キュー グリッドから、またはインシデント自体から 削除 できます。 インシデントを削除するには、Microsoft Sentinel共同作成者ロールが必要です。
Azure Logic Apps を使用してインシデントを作成する
インシデントの作成は、Microsoft Sentinel コネクタの Logic Apps アクションとしても使用できるため、プレイブックMicrosoft Sentinel使用できます。
インシデント トリガーのプレイブック スキーマには、 インシデントの作成 (プレビュー) アクションがあります。
以下の説明に従ってパラメーターを指定する必要があります。
それぞれのドロップダウンから サブスクリプション、 リソース グループ、 ワークスペース名 を選択します。
残りのフィールドについては、上記の説明を参照してください (「Azure portalを使用してインシデントを作成する」の下)。
Microsoft Sentinelには、この機能を使用する方法を示すサンプル プレイブック テンプレートがいくつか用意されています。
- Microsoft Form でインシデントを作成する
- 共有メール受信トレイからインシデントを作成する
プレイブック テンプレート ギャラリーの [Microsoft Sentinel Automation] ページで見つけることができます。
Microsoft Sentinel API を使用してインシデントを作成する
Incidents 操作グループを使用すると、作成だけでなく、インシデントの更新 (編集)、取得 (取得)、一覧表示、削除も行うことができます。
次 のエンドポイントを 使用してインシデントを作成します。 この要求が行われると、インシデントはポータルのインシデント キューに表示されます。
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
要求本文の例を次に示します。
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
備考
手動で作成されたインシデントには、エンティティやアラートは含まれません。 そのため、既存 のアラートを インシデントに関連付けるまで、インシデント ページの [アラート] タブは空のままです。
手動で作成されたインシデントにエンティティを直接追加することは現在サポートされていないため、[エンティティ] タブも空のままです。 (このインシデントにアラートを関連付ける場合、アラートのエンティティがインシデントに表示されます)。
手動で作成されたインシデントには、キュー内の 製品名 も表示されません。
インシデント キューは既定でフィルター処理され、"新規" または "アクティブ" の状態のインシデントのみが表示されます。状態が "Closed" のインシデントを作成した場合、ステータス フィルターを変更して閉じたインシデントも表示するまで、キューに表示されません。
次の手順
詳細については、以下を参照してください。