構成アイテムにおける条件のトリガー方法

トリガー条件を設定して、トリガー条件に一致するセキュリティインシデントが作成されるたびにプロファイルが自動的に実行されるようにすることができます。トリガー条件が設定されていない場合は、セキュリティインシデントの [EDR プロファイルを実行] フォームをクリックしてプロファイルを選択することで、これらのプロファイルを手動で実行できます。

デフォルトでは、統合はセキュリティインシデントの構成アイテム (CI) フィールドを使用します。この値は、資産の ID を ServiceNow AI Platform 構成管理データベース (CMDB) に格納されている情報と照合するために使用されます。セキュリティインシデントが作成され、プロファイルが自動または手動で実行されると、CI フィールドの値に基づいて CMDB が検索され、ホスト名や IP アドレスが取得されます。ホスト名や IP は、Microsoft Defender for Endpoint でエージェント ID を解決してエンドポイントを識別するために使用されます。

理想的なシナリオでは、一致する値がデータベースで見つかり、一致する資産に関して Microsoft Defender for Endpoint コンソールからデータが収集されます。さまざまな機能のデータが ServiceNow AI Platform 構成管理データベース (CMDB) インスタンスにプルされ、セキュリティインシデントの関連リストに表示されます。セキュリティインシデントの構成アイテム (CI) フィールドにホスト名、またはデータベースと一致する IP アドレスが入力されていない場合は、セキュリティインシデントでホスト名または IP のいずれかを含む代替フィールドを選択して、エージェント ID の解決を実行できます。

プロファイルセットアップの構成手順では、エンドポイント識別用の代替 CI フィールドを選択して、Microsoft Defender for Endpoint でエンドポイントを識別できるようにすることができます。作成したカスタムフィールドを含む、セキュリティインシデントの任意のフィールドを代替 CI トリガーフィールドとして選択できます。この代替 CI フィールドをバックアップとして選択することで、インシデントの作成時に CI フィールドが設定されていない場合でもプロファイルが実行されるようにします。