クエリ結果をインシデントにリンクする
適用対象:
- Microsoft Defender XDR
インシデント機能へのリンクを使用して、調査中の新しいインシデントまたは既存のインシデントに高度なハンティング クエリ結果を追加できます。 この機能は、高度なハンティング アクティビティからレコードを簡単にキャプチャするのに役立ちます。これにより、インシデントに関するより豊富なタイムラインまたはイベントのコンテキストを作成できます。
新しいインシデントまたは既存のインシデントに結果をリンクする
高度なハンティング クエリ ページで、最初に指定されたクエリ フィールドにクエリを入力し、[ クエリの実行 ] を選択して結果を取得します。
![Microsoft Defender ポータルの [クエリ] ページ](/ja-jp/defender/media/link-to-incident-1.png)
[結果] ページで、作業中の新しい調査または現在の調査に関連するイベントまたはレコードを選択し、[ インシデントにリンク] を選択します。
![Microsoft Defender ポータルの [結果] タブの [インシデントへのリンク] オプション](/ja-jp/defender/media/link-to-incident-1b.png)
[インシデントへのリンク] ウィンドウで [ アラートの詳細 ] セクションを探し、[ 新しいインシデントの作成 ] を選択してイベントをアラートに変換し、それらを新しいインシデントにグループ化します。
![Microsoft Defender ポータルの [インシデントへのリンク] ウィンドウの [アラートの詳細] セクション](/ja-jp/defender/media/link-to-incident-3-create-new.png)
または、[ 既存のインシデントにリンク ] を選択して、選択したレコードを既存のインシデントに追加します。 既存のインシデントのドロップダウン リストから関連するインシデントを選択します。 インシデント名または ID の最初の数文字を入力して、既存のインシデントを見つけることもできます。
![Microsoft Defender ポータルの [アラートの詳細] セクション](/ja-jp/defender/media/link-to-incident-3-link-to-existing.png)
どちらの選択でも、次の詳細を指定し、[ 次へ] を選択します。
- アラート タイトル - インシデント対応者が理解できる結果のわかりやすいタイトルを指定します。 この説明的なタイトルがアラート タイトルになります。
- [重大度 ] - アラートのグループに適用される重大度を選択します。
- [カテゴリ ] - アラートに適した脅威カテゴリを選択します。
- 説明 - グループ化されたアラートに役立つ説明を提供します。
- 推奨されるアクション - 修復アクションを提供します。
[影響を受けるエンティティ] セクションで、影響を受けるエンティティまたは影響を受けるエンティティメインを選択します。 このセクションには、クエリ結果に基づく適用可能なエンティティのみが表示されます。 この例では、クエリを使用して、可能な電子メール流出インシデントに関連するイベントを検索しました。そのため、Sender は影響を受けるエンティティです。 たとえば、4 つの異なる送信者がある場合、4 つのアラートが作成され、選択したインシデントにリンクされます。
![Microsoft Defender ポータルの [インシデントへのリンク] セクションの影響を受けるエンティティ](/ja-jp/defender/media/link-to-incident-4-impacted-entities.png)
[次へ] を選択します。
[ 概要 ] セクションで指定した詳細を確認します。
![Microsoft Defender ポータルの [インシデントにリンク] セクションの結果ページ](/ja-jp/defender/media/link-to-incident-5-summary.png)
[完了] を選択します。
![Microsoft Defender ポータルの [クエリ] ページ](/ja-jp/defender/media/link-to-incident-1.png#lightbox)
![Microsoft Defender ポータルの [結果] タブの [インシデントへのリンク] オプション](/ja-jp/defender/media/link-to-incident-1b.png#lightbox)
![Microsoft Defender ポータルの [インシデントへのリンク] ウィンドウの [アラートの詳細] セクション](/ja-jp/defender/media/link-to-incident-3-create-new.png#lightbox)
![Microsoft Defender ポータルの [アラートの詳細] セクション](/ja-jp/defender/media/link-to-incident-3-link-to-existing.png#lightbox)
![Microsoft Defender ポータルの [インシデントへのリンク] セクションの影響を受けるエンティティ](/ja-jp/defender/media/link-to-incident-4-impacted-entities.png#lightbox)
![Microsoft Defender ポータルの [インシデントにリンク] セクションの結果ページ](/ja-jp/defender/media/link-to-incident-5-summary.png#lightbox)
インシデント内のリンクされたレコードを表示する
インシデント名を選択すると、イベントがリンクされているインシデントを表示できます。
![Microsoft Defender ポータルの [概要] タブのイベントの詳細画面](/ja-jp/defender/media/link-to-incident-6-incident-pg.png#lightbox)
この例では、選択した 4 つのイベントを表す 4 つのアラートが、新しいインシデントに正常にリンクされました。
各アラート ページでは、イベントまたはイベントに関する完全な情報を タイムライン ビュー (使用可能な場合) とクエリ結果ビューで確認できます。
![Microsoft Defender ポータルの [タイムライン] タブでのイベントの詳細](/ja-jp/defender/media/link-to-incident-7-alert-story.png#lightbox)
イベントを選択して、[ レコードの検査 ] ウィンドウを開くこともできます。
![Microsoft Defender ポータルの [タイムライン] タブでイベントのレコードの詳細を検査する](/ja-jp/defender/media/link-to-incident-7-inspect-record.png#lightbox)
高度なハンティングを使用して追加されたイベントをフィルター処理する
インシデント キューとアラート キューを 手動 検出ソースでフィルター処理することで、高度なハンティングから生成されたアラートを表示できます。
![Microsoft Defender ポータルの [フィルター] ページでのインシデントとアラート キューの手動フィルター処理](/ja-jp/defender/media/link-to-incident-8-filter.png#lightbox)
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。