Microsoft Defender for Endpoint における観測事象の手動拡張の実行

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:1分

    • 個々のまたは複数の観測事象を選択し、手動で観測事象の拡張を行うことで、Microsoft Defender for Endpoint からの追加情報で観測事象を拡張できます。

    始める前に

    必要なロール:sn_si.analyst

    このタスクについて

    Microsoft Defender for Endpoint 統合により、[観測事象からインジケーターへのマッピング] モジュールでマッピングされているすべての観測事象タイプを拡張できます。

    手順

    1. 移動先 セキュリティインシデント > すべてのインシデントを表示.
    2. Microsoft Defender for Endpoint 情報で確認するセキュリティインシデントを選択します。
    3. [すべての関連リストを表示] をクリックします。
    4. [関連する観測事象] タブをクリックします。
    5. 観測事象を選択します。
    6. [アクション] リストから、[観測事象の拡張を実行] をクリックします。
    7. Microsoft Defender for Endpoint ソースを選択し、それを [選択済み] 列に移動して、選択した観測事象を拡張するために使用する実装を指定します。
    8. [Submit] をクリックします。
    9. 実行のステータスを検証するには、作業メモを表示します。
    10. 結果を表示するには、[Microsoft Defender インジケーター] タブをクリックします。
      観測事象の拡張の詳細については、次のテーブルを参照してください。
      表 : 1. Microsoft Defender インジケーター
      フィールド 説明
      インジケーター ID インジケーターエンティティの ID。[開く] をクリックして、ServiceNow AI Platform インスタンスでレコードの詳細を表示します。
      観測事象 結果に関連付けられた観測事象。
      タイトル インジケーターのタイトル。
      インジケータータイプ インジケーターのタイプ。
      アクション インジケーターによって実行されるアクション。
      推奨アクション インジケーターに対する推奨アクション。
      統合ベンダー データの取得元である Defender ソース統合。
      有効期限 インジケーターの有効期限。
      取得日 拡張レコードが作成された日付。