次の方法で共有

クエリ結果をインシデントにリンクする

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

インシデント機能へのリンクを使用して、調査中の新しいインシデントまたは既存のインシデントに高度なハンティング クエリ結果を追加できます。 この機能は、高度なハンティング アクティビティからレコードを簡単にキャプチャするのに役立ちます。これにより、インシデントに関するより豊富なタイムラインまたはイベントのコンテキストを作成できます。

  1. 高度なハンティング クエリ ページで、最初に指定されたクエリ フィールドにクエリを入力し、[ クエリの実行 ] を選択して結果を取得します。

    Microsoft Defender ポータルの高度なハンティング ページのスクリーンショット。

  2. [結果] ページで、作業中の新しい調査または現在の調査に関連するイベントまたはレコードを選択し、[ インシデントにリンク] を選択します。

    Microsoft Defender ポータルでの高度なハンティングでのインシデント機能へのリンクのスクリーンショット。

  3. [インシデントへのリンク] ウィンドウで [ アラートの詳細 ] セクションを探し、[ 新しいインシデントの作成 ] を選択してイベントをアラートに変換し、それらを新しいインシデントにグループ化します。

    または、[ 既存のインシデントにリンク ] を選択して、選択したレコードを既存のインシデントに追加します。 既存のインシデントのドロップダウン リストから関連するインシデントを選択します。 インシデント名または ID の最初の数文字を入力して、既存のインシデントを見つけることもできます。

    Microsoft Defender ポータルで保存されたクエリで使用できるオプションのスクリーンショット。

  4. どちらの選択でも、次の詳細を指定し、[ 次へ] を選択します。

    • アラート タイトル - インシデント対応者が理解できる結果のわかりやすいタイトルを指定します。 この説明的なタイトルがアラート タイトルになります。
    • [重大度 ] - アラートのグループに適用される重大度を選択します。
    • [カテゴリ ] - アラートに適した脅威カテゴリを選択します。
    • 説明 - グループ化されたアラートに役立つ説明を提供します。
    • 推奨されるアクション - 修復アクションを提供します。

  5. [ エンティティ] セクションでは、リンクされたインシデントに他のアラートを関連付けるために使用されるエンティティを確認できます。 インシデント ページにも表示されます。 事前に選択されたエンティティは、次のように分類して確認できます。

    a. 影響を受ける資産 – 選択したイベントの影響を受ける資産は、次の場合があります。

    • アカウント
    • デバイス
    • Mailbox
    • クラウド アプリケーション
    • Azure リソース
    • Amazon Web Services リソース
    • Google Cloud Platform リソース

    b. 関連する証拠 – 選択したイベントに表示される非資産。 サポートされているエンティティ型は次のとおりです。

    • プロセス
    • File
    • レジストリ値
    • IP
    • OAuth アプリケーション
    • DNS
    • セキュリティ グループ
    • URL
    • メール クラスター
    • メール メッセージ

  6. エンティティ型が選択されたら、選択したレコードに存在する識別子の種類を選択して、このエンティティを識別するために使用できるようにします。 各エンティティの種類には、関連するドロップダウンに示されているように、サポートされている識別子の一覧があります。 各識別子にカーソルを合わせると表示される説明を読み、理解を深めます。

  7. 識別子を選択した後、選択した識別子を含むクエリ結果から列を選択します。 [ クエリと結果の探索 ] を選択して、高度なハンティング コンテキスト パネルを開くことができます。 これにより、クエリと結果を調べて、選択した識別子に適した列を選択できます。
    Microsoft Defender ポータルのインシデント ウィザード エンティティへのリンクのスクリーンショット。
    この例では、クエリを使用して、考えられる電子メール流出インシデントに関連するイベントを検索しました。そのため、受信者のメールボックスと受信者のアカウントは影響を受けるエンティティであり、送信者の IP と電子メール メッセージは関連する証拠です。

    Microsoft Defender ポータルのインシデント ウィザードの完全なエンティティへのリンクのスクリーンショット。

    影響を受けるエンティティの一意の組み合わせで、レコードごとに異なるアラートが作成されます。 この例では、たとえば、3 つの異なる受信者メールボックスと受信者オブジェクト ID の組み合わせがある場合、3 つのアラートが作成され、選択したインシデントにリンクされます。

  8. [次へ] を選択します。

  9. [概要] セクションで指定した詳細を確認します。

  10. [完了] を選択します。

インシデント内のリンクされたレコードを表示する

ウィザードの概要ステップから生成されたリンクを選択するか、インシデント キューからインシデント名を選択して、イベントがリンクされているインシデントを表示できます。

Microsoft Defender ポータルのインシデント へのリンク ウィザードの概要手順のスクリーンショット。

この例では、選択した 3 つのイベントを表す 3 つのアラートが、新しいインシデントに正常にリンクされました。 各アラート ページでは、イベントまたはイベントに関する完全な情報を タイムライン ビュー (使用可能な場合) とクエリ結果ビューで確認できます。

また、タイムライン ビューまたはクエリ結果ビューからイベントを選択して、[レコードの検査] ウィンドウを開くこともできます。

Microsoft Defender ポータルのインシデント ページのスクリーンショット。

高度なハンティングを使用して追加されたイベントをフィルター処理する

インシデントとアラートを 手動 検出ソースでフィルター処理することで、高度なハンティングから生成されたアラートを表示できます。

Microsoft Defender ポータルの高度なハンティングのフィルター ドロップダウンのスクリーンショット。