Microsoft Defender for Endpoint インシデント キューを表示して整理する
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
[インシデント] キューには、ネットワーク内のデバイスからフラグが設定されたインシデントのコレクションが表示されます。 これにより、インシデントを分類して優先順位を付け、情報に基づいたサイバーセキュリティ対応の決定を作成できます。
既定では、キューには過去 6 か月間に表示されたインシデントが表示され、最新のインシデントが一覧の一番上に表示され、最初に最新のインシデントを確認できます。
[Incidents queue]\(インシデント キュー\) ビューをカスタマイズするために選択できるオプションがいくつかあります。
上部のナビゲーションでは、次のことができます。
- 列をカスタマイズして列を追加または削除する
- ページごとに表示する項目の数を変更する
- ページごとに表示する項目を選択する
- 割り当てるインシデントをバッチ選択する
- ページ間を移動する
- フィルターの適用
- 日付範囲をカスタマイズして適用する
インシデント キューの並べ替えとフィルター処理
次のフィルターを適用してインシデントの一覧を制限し、より焦点を絞ったビューを取得できます。
重要度
インシデントの重大度 | 説明 |
---|---|
高い (赤) |
多くの場合、脅威は高度な永続的な脅威 (APT) に関連付けられています。 これらのインシデントは、デバイスに与える可能性のある損害の重大度により高リスクであることを示します。 |
中 (オレンジ) |
異常なレジストリの変更、疑わしいファイルの実行、攻撃段階の一般的な動作など、organizationではほとんど脅威が観察されません。 |
低 (黄) |
一般的なマルウェアやハッキング ツールに関連する脅威。必ずしも、organizationを対象とする高度な脅威を示すものではありません。 |
Informational (Gray) |
情報インシデントは、ネットワークに有害であるとは見なされませんが、追跡に適している可能性があります。 |
割り当て先
ユーザー割り当てられているものまたは自分に割り当てられているものを選択することで、リストをフィルター処理することを選択できます。
カテゴリ
インシデントは、サイバーセキュリティ キル チェーンが存在するステージの説明に基づいて分類されます。 このビューは、脅威アナリストが、コンテキストに基づいてデプロイする優先順位、緊急性、対応する対応戦略を決定するのに役立ちます。
状態
状態に基づいて表示されるインシデントのリストを制限して、アクティブなインシデントまたは解決されたインシデントを確認できます。
データの機密性
秘密度ラベルを含むインシデントを表示するには、このフィルターを使用します。
インシデントの名前付け
インシデントのスコープをひとめで把握するために、インシデント名は、影響を受けるエンドポイントの数、影響を受けるユーザー、検出ソース、カテゴリなどのアラート属性に基づいて自動的に生成されます。
たとえば、 複数のソースによって報告された複数のエンドポイントに対するマルチステージ インシデント。
注:
自動インシデントの名前付けのロールアウト前に存在していたインシデントは、その名前を保持します。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。