Microsoft Defender ポータルでアラートを別のインシデントにリンクする
Microsoft Defenderは既に高度な相関メカニズムを使用していますが、特定のアラートが特定のインシデントに属しているかどうかを異なる方法で決定する必要がある場合があります。 このような場合は、あるインシデントからアラートのリンクを解除し、別のインシデントにリンクできます。 すべてのアラートはインシデントに属している必要があるため、アラートを別の既存のインシデントにリンクするか、その場で作成した新しいインシデントにリンクする必要があります。
この記事では、あるインシデントからアラートをリンク解除し、別のインシデントにリンクする方法について説明します。
前提条件
- ユーザーには、インシデント キューを表示するためのアクセス許可が必要です。
- ユーザーは、インシデント間で移動するすべてのアラートに対する読み取りと書き込みのアクセス許可を持っている必要があります。
パネルにアクセスしてアラートのリンクを解除する
このパネルにはさまざまな方法があります。 アラートに対して選択またはアクションを実行できる任意の場所からアクセスできます。 以下に例を示します。
次のいずれかの場所で、行の先頭にあるチェック ボックスをオンにして、1 つ以上のアラートを選択します。 1 つ以上のアラートがマークされると、ツール バー に [別のインシデントにアラートをリンク する] ボタンが表示されます。
- Incidents キュー。 特定のインシデントを展開して、含まれるアラートを表示します。
- インシデント の 詳細ページの [アラート] タブ。
- アラート キュー。
また、アラートの詳細ページの詳細パネルには、[アラートを 別のインシデントにリンク する] ボタンが常に表示されます。
リンクを解除するアラートまたはアラートを選択します
前のセクションで説明した場所のいずれかを開きます。
キュー内の行の先頭にあるチェック ボックスをオンにして、移動するアラートまたはアラートを選択します。 1 つ以上のアラートがマークされると、ツール バー に [別のインシデントにアラートをリンク する] ボタンが表示されます。
ツール バーから [ アラートを別のインシデントにリンク する] を選択します。 ポップアップ パネルが開きます。 1 つのアラートのみを選択した場合、パネルには [ 別のインシデントへのアラートのリンク] というラベルが付きます。 2 つ以上のアラートを選択した場合は、[ 複数のアラートを別のインシデントにリンクする] というラベルが付きます。 他のすべての点で、それは同じパネルです。
アラートまたはアラートが別の既存のインシデントに属している場合は、[ 既存のインシデントにリンクする] を選択します。 それ以外の場合は、[ 新しいインシデントの作成] を選択します。 アラートはインシデントに属している必要があります。
アラートまたはアラートを既存のインシデントにリンクする
[ 既存のインシデントにリンク] を選択した場合は、選択した直後に新しいテキスト フィールド [ インシデント名] または [ID] が表示されます。 アラートまたはアラートをリンクするインシデントの名前または ID 番号の入力を開始します。 入力すると、使用可能なインシデントの一覧が動的に表示され、入力内容によってフィルター処理されます。 一覧に目的のファイルが表示されたら、それを選択します。
[ コメント ] フィールドに、アラートを移動する理由を説明するコメントを入力します。
パネルの下部にある [保存] を 選択して移動を実行します。
アラートまたはアラートを新しいインシデントにリンクする
[ 新しいインシデントの作成] を選択した場合は、アラートを移動する理由を説明するコメントを入力するだけです。
パネルの下部にある [保存] を 選択して移動を実行します。
プロセスが完了すると、移動したアラートまたはアラートを含む新しいインシデントが作成されます。 インシデントには、アラートまたはアラートの名前に基づいて自動的に名前が付けられます。
アクティビティ ログ
アラートがインシデントと関連付けられると、アラートと関連付けられたことを証明するメッセージがインシデントのアクティビティ ログに書き込まれます。 このメッセージは、次のいずれかの状況で書き込まれます。
- アラートが作成され、新しいインシデントまたは既存のインシデントと自動的に関連付けられます。
- アラートは、あるインシデントからリンク解除され、別のインシデントにリンクされます。 宛先インシデントのログにメッセージが表示されます。