これらの条件は、取り込んだインシデントの [サンプルインシデントの取り込み Microsoft Defender セクションに表示されるフィールドと一致する必要があります。これらのフィールドは動的であり、取り込むインシデントに応じて変更されます。入力する基準は大文字と小文字を区別します。定義した基準がインシデントの値と一致していることを確認します。

複数の値を持つ次のフィールドには、フィルター条件 incident_id を使用します。

• 重大度
• 前回変更者
• 最終更新日時
• キーワード

フィルター条件は文字列のみ取得できるため、前のフィールドに incident_id フィルター条件を使用して、データが正しくフィルタリングされていることを確認する必要があります。

• [AND] を選択した場合は、すべての条件に一致する必要があります。
• [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。

集計基準が満たされ、この受信インシデントを既存のセキュリティインシデントに追加できるように、複数選択入力フィールドで選択したすべてのフィールド値が一致する必要があります。この選択は、複数のフィールド値を持つ可能性がある [観測事象] や [構成アイテム] などのフィールドがマッピングされる AND 条件であることを意味します。値のサブセットのみが一致した場合、Microsoft インシデント集計条件は満たされず、新しいセキュリティインシデントが作成されます。

定義した複数選択フィールド条件のいずれかが満たされると、集計が行われます。この選択は OR 条件を意味します。

作業メモには、新しいインシデントの作成が記録され、その詳細へのリンクが含まれています。作業メモの記録では、マッピングセクションの作業メモフィールドに追加した詳細も更新されます。