이러한 조건은 수집한 인시던트의 샘플 인시던트 수집 섹션에 Microsoft Defender 표시되는 필드와 일치해야 합니다. 이러한 필드는 동적이며 수집하는 인시던트에 따라 변경됩니다. 입력하는 기준은 대/소문자를 구분합니다. 정의한 기준이 인시던트 값과 일치하는지 확인합니다.

값이 여러 개인 다음 필드에 대해 필터 조건 incident_id 사용합니다.

• 심각도
• 마지막으로 수정한 사람
• 마지막 업데이트날짜/시간
• 키워드

필터 조건은 문자열만 검색할 수 있으므로 이전 필드에 대한 incident_id 필터 조건을 사용하여 데이터가 올바르게 필터링되었는지 확인해야 합니다.

• AND를 선택하면 모든 조건이 일치해야 합니다.
• OR을 선택하면 조건을 일치시킬 수 있습니다.

집계 기준이 충족되고 이 수신 인시던트를 기존 보안 인시던트에 추가할 수 있도록 다중 선택 입력 필드에서 선택한 모든 필드 값이 일치해야 합니다. 이 선택은 여러 필드 값을 가질 수 있는 옵저버블 및 구성 항목과 같은 필드가 매핑되는 AND 조건임을 의미합니다. 값의 하위 집합만 일치하면 Microsoft 인시던트 집계 조건이 충족되지 않고 새 보안 인시던트가 생성됩니다.

사용자가 정의하는 다중 선택 필드 조건 중 하나가 충족되면 집계가 발생합니다. 이 선택은 OR 조건을 의미합니다.

작업 메모는 새 인시던트의 생성을 기록하고 상세 정보에 대한 링크를 포함합니다. 로그 작업 메모는 매핑 섹션의 작업 메모 필드에 추가하는 자세한 정보도 업데이트합니다.