次の方法で共有

Microsoft Defender ポータルでインシデントを手動でマージする (プレビュー)

  • 適用対象: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

不審なアクティビティが検出されると、Microsoft Defender ポータルでインシデントが自動的に作成されます。 2 つのインシデントが同じ攻撃ストーリーの一部を記述する場合、Defender は通常、インシデントを 1 つのインシデントに自動的にマージして、インシデントをより効率的かつ効果的に調査し、より迅速かつ正確に解決するのに役立ちます。

ただし、自動マージが発生しない場合があります。これは、それを妨げる特定の条件が原因です。 インシデントがいつマージされるか、マージされないかについて詳しくは、「 インシデントの関連付けとマージ」をご覧ください。 このような状況で、または 2 つの (マージされていない) インシデントが関連しており、1 つのユニットとして調査する必要があると個別に判断した場合は、それらを手動でマージできます。 この記事では、その方法について説明します。

前提条件

  • ユーザーには、インシデント キューを表示するためのアクセス許可が必要です。
  • ユーザーは、マージするすべてのインシデントに対する読み取りと書き込みのアクセス許可を持っている必要があります。 異なるソースからのインシデントには、異なる RBAC ロールが定義されています。
  • マージの候補となるインシデントは、[ 割り当て先]、[ 分類]、および [決定] フィールドに対して、互いに同じ値または null 値を持つ必要があります。

インシデント キュー ページからインシデントをマージする

  1. インシデント キューを開きます。 Microsoft Defender ポータルのサイド リンク バー メニューから[インシデント>インシデント & アラート>インシデントに対する調査 & 応答]を選択します。

  2. キュー内の行の先頭にあるチェック ボックスをオンにして、マージする 2 つのインシデントを選択します。 2 つのインシデントがマークされると、ツール バーに [ インシデントのマージ ] ボタンが表示されます。

    キューからインシデントを選択してマージするスクリーンショット。

  3. ツール バーから [ インシデントのマージ] を選択します。 [インシデントのマージ] ポップアップが開きます。

  4. [ マージ理由 ] テキスト ボックスに、インシデントをマージする理由の説明を入力します。

  5. ポップアップ 下部にある [インシデントのマージ] を選択して、マージを実行します。

    キューからのインシデントのマージのスクリーンショット。

  6. 表示される確認ダイアログで、[マージ] を選択 します。 マージが完了すると、"成功" 通知が表示され、マージされた (ターゲット) インシデントに移動するためのリンクが表示されます。

    マージが失敗した場合は、インシデントがマージに失敗したことを示すメッセージが表示されるダイアログ ボックスが表示されます。 両方のインシデントが同じ値を持っていること、または [ 割り当て先]、[ 分類]、[決定] の少なくとも 1 つのインシデントに null 値があることを確認 します

インシデント ページ内からインシデントをマージする

  1. インシデント キューからマージする 2 つのインシデントの 1 つを選択します。 これは、ソースまたはターゲット インシデントのいずれかである可能性があります。これは、Microsoft Defenderがどちらであるかを決定します。 詳細については、「 マージ プロセスの詳細」を参照してください。

  2. インシデント ページが表示されます。 そこで、[ アクション ] メニュー (右上隅にある 3 つのドット) から、[ インシデントのマージ] を選択します。

    インシデント ページからのインシデントのマージのスクリーンショット。

  3. [ インシデントのマージ] ポップアップが表示されます。 [ その他のインシデント名または ID ] フィールドで、開いているインシデントとマージするインシデントの名前または ID の入力を開始します。 使用可能なインシデントの一覧は、入力時に動的に表示され、フィルター処理されます。 一覧に目的のファイルが表示されたら、それを選択します。

    インシデント ページのインシデント マージ パネルのスクリーンショット。

  4. [ コメント ] テキスト ボックスに、インシデントをマージする理由の説明を入力します。

  5. ポップアップ 下部にある [インシデントのマージ] を選択して、マージを実行します。

  6. 表示される確認ダイアログで、[マージ] を選択 します。 マージが完了すると、"成功" 通知が表示され、開いているインシデントが閉じられ、マージされた (ターゲット) インシデントにリダイレクトされます。

    マージが失敗した場合は、インシデントがマージに失敗したことを示すメッセージが表示されるダイアログ ボックスが表示されます。 マージを成功させるには、両方のインシデントが同じ値を持っている必要があります。または、 割り当て先分類および決定に対して、少なくとも 1 つのインシデントに null 値が必要です。

メモ

  • インシデントがマージ処理中の場合、どちらのインシデントにも表示または変更を加えることはできません。

  • インシデントのマージは、ターゲット インシデントのアクティビティ ログに記録されます。 ログ メッセージには、オープン (ターゲット) インシデントにマージされたソース インシデントの名前と ID が表示されます。

  • ソース インシデントからのアクティビティ ログ エントリは、ターゲット インシデントのアクティビティ ログにコピーされます。 エントリは、ソース インシデントからマージされたことを示すとともに表示されます。 アクティビティ ログをフィルター処理して、ソース インシデントまたはターゲット インシデント、またはその両方のエントリを表示できます。

関連項目

  • Last updated on