Microsoft Defender for Endpointでのインジケーターの作成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • Microsoft Defender for Endpoint を使用して、セキュリティインシデントの関連する観測事象からインジケーターを作成します。

    始める前に

    必要なロール:sn_si.admin、sn_si.analyst

    このタスクについて

    Microsoft Defender for Endpoint 統合により、[観測事象からインジケーターへのマッピング] モジュールでマッピングされているすべての観測事象タイプを拡張できます。

    [インジケーターを作成] では、検出、およびブロックの防止と対応のためのインジケーターのリストを設定できます。セキュリティインシデントの関連する観測事象からインジケーターを作成できます。

    手順

    1. 移動先 セキュリティインシデント > すべてのインシデントを表示.
    2. Microsoft Defender for Endpoint でインジケーターを作成する観測事象を含むセキュリティインシデントを選択します。
    3. [関連する観測事象] 関連リストをクリックします。
    4. 既存の観測事象を追加するか、新しい観測事象を作成します。
    5. 観測事象を選択します。
    6. 選択した行の [アクション] から、[Microsoft Defender でインジケーターを作成 (Create Indicator in Microsoft Defender)] をクリックします。
      [関連する成果物] ビュー:[アクション] リストから [Microsoft Defender for Endpoint のインジケーターの作成] を選択します。
    7. フォームのフィールドに入力します。
      フィールド 説明
      選択した観測事象 (Selected Observables) 影響を受ける観測事象。このアクションを使用して、複数の観測事象のインジケーターを作成できます。観測事象を選択解除する場合は、リストから観測事象を選択解除します。
      注:
      サポートされている観測事象タイプがマッピングされていない場合、そのような観測事象のインジケーターは Microsoft Defender で作成されません。
      タイトル インジケーターのタイトル。
      説明 インジケーターの説明。
      有効期限 インジケーターの有効期限。
      推奨アクション インジケーターに対して実行する必要がある推奨アクション。
      ソース インジケーターを作成するための統合構成。
      アクション 組織内でインジケーターが検出された場合に実行されるアクション。可能な値は次のとおりです。
      • 警告
      • ブロック
      • 監査
      • 'BlockAndRemediate
      • 許可される
      アプリケーション インジケーターに関連付けられている Microsoft Defender for Endpoint アプリケーション。このフィールドは新しいインジケーターにのみ適用され、既存のインジケーターには使用できません。
      重大度 インジケーターの重大度。可能な値は次のとおりです。
      RBAC グループ名 インジケーターが適用される RBAC グループ名。名前はカンマ区切りのリストです。
    8. [インジケーターを作成] をクリックします。
    9. アクティビティと UI メッセージを検証します。
    10. [Microsoft Defender インジケーター] タブをクリックして結果を表示します。