Microsoft Defender for Endpoint における観測事象の自動拡張の実行

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:1分

    • Microsoft Defender for Endpoint で観測事象の自動拡張を実行して、さまざまなソースからの追加情報で観測事象を拡張します。

    始める前に

    [セキュリティインシデントレスポンス] システムプロパティが有効になっていることを確認します。このオプションは、観測事象がセキュリティインシデントに関連付けられるたびに、SIR で観測事象の拡張機能をトリガーします。

    必要なロール:sn_si.admin、sn_si.analyst

    このタスクについて

    この機能を使用して、インシデント応答の調査中に、識別された脅威を封じ込めることができます。新しい観測事象がセキュリティインシデントに関連付けられると、Microsoft Defender for Endpoint の観測事象の拡張を自動的に実行できるようになります。

    手順

    1. 移動先 セキュリティインシデント > すべてのインシデントを表示.
    2. Microsoft Defender for Endpoint 情報で確認するセキュリティインシデントを選択します。
    3. 新しい観測事象がセキュリティインシデントに関連付けられたら、自動化アクティビティを検証します。
    4. セキュリティインシデントの [インジケーター] 関連リストでエンリッチメント結果を表示します。
      観測事象の拡張の詳細については、次のテーブルを参照してください。
      表 : 1. Microsoft Defender インジケーター
      フィールド 説明
      インジケーター ID インジケーターエンティティの ID。[開く] をクリックして、ServiceNow AI Platform インスタンスでレコードの詳細を表示します。
      観測事象 結果に関連付けられた観測事象。
      タイトル インジケーターのタイトル。
      インジケータータイプ インジケーターのタイプ。
      アクション インジケーターによって実行されるアクション。
      推奨アクション インジケーターに対する推奨アクション。
      統合ベンダー データの取得元である Defender ソース統合。
      有効期限 インジケーターの有効期限。
      取得日 拡張レコードが作成された日付。