プロファイルを作成し、そのプロファイルで実行する Microsoft Defender for Endpoint 機能を選択します。定義された条件でのみプロファイルがトリガーされるように設定を構成する必要があります。
始める前に
必要なロール:sn_si.admin、sn_si.analyst (読み取り専用)
このタスクについて
指定した条件が満たされた場合にのみ実行されるように機能プロファイルを構成します。必要に応じて構成アイテム (CI) フィールドの代替入力フィールドを選択し、トリガー条件を満たすセキュリティインシデントが作成されたときにプロファイルが自動的にトリガーされるようにフィルタリング条件を設定できます。
注: [プロファイルの詳細] ページを入力した後にのみ、[プロファイル設定] ページに移動できます。
手順
-
次のように移動する。 .
-
[プロファイルの詳細] セクションを完了したら、 .
セクションを確認して構成します。
-
[インシデント基準の定義] ([自動化] 内) セクションで、プロファイルで Microsoft Defender for Endpoint 機能を自動的にトリガーするように [インシデント基準の定義] オプションを選択します。
[インシデント基準の定義] ([自動化] 内):プロファイルに対して Microsoft Defender for Endpoint 機能を自動的にトリガーするセキュリティインシデント条件を定義します。
[インシデント基準の定義] オプションを選択しない場合、プロファイルと基盤となる機能はセキュリティインシデントから手動で呼び出すことができます。
注: [ホストを隔離] および [ホスト隔離削除] 機能は自動的にトリガーされません。
-
[フィルター条件] で、必要なフィールドを選択します。
-
[新しい基準] を追加し、OR または AND 条件も定義します。
-
[承認] セクションで、[承認が必要] チェックボックスをオンにして、追加レベルの制御を提供します。
このオプションを選択すると、ホストマシンの隔離、ネットワークへの復元、ファイルの取得で Microsoft Defender for Endpoint の機能を使用してより詳細に制御できます。
プロファイル構成の [承認] オプションは、[ホストを隔離] および [ホスト隔離削除] 機能に対してのみ表示されます。
-
[追加の構成] セクションで [代替フィールドを定義 (Define Alternative Field)] オプションを選択して、代替入力フィールドを定義します。
[追加の構成]:セキュリティインシデントの構成アイテム (CI) フィールドにホスト名、またはデータベースと一致する IP アドレスが入力されていない場合は、セキュリティインシデントで代替フィールドを選択して、Microsoft Defender for Endpoint API をクエリできます。
-
[代替フィールドを定義 (Define Alternative Field)] オプションを選択します。
-
から入力フィールドを選択 .
-
[タグ] セクションで、[タグを表示] チェックボックスをオンにしてセキュリティインシデントのタグ付けを有効にします。タグを有効にすると、プロファイル名がプリフィックスとして付きます。
オプションで、プロファイル開始、プロファイル完了、およびプロファイル失敗のタグをセキュリティインシデントにタグ付けできます。デフォルトでは、このオプションはすべてのプロファイルでオフになっています。
-
クリックします .