Explanation:
Microsoft 365 Defender(Microsoft 365 セキュリティセンター)のインシデント機能は、セキュリティシグナルを統合・相関させ、アナリストが攻撃の全容を把握できるように設計されています。Microsoftのドキュメントでは、インシデントとは「関連するアラートの集合体であり、まとめて表示することで、攻撃とその影響に関するより詳細なコンテキストを提供する」と説明されています。このサービスは「同じ脅威活動に関連する可能性が高いアラートを自動的にグループ化」するため、セキュリティチームは多数の断片化されたアラートではなく、単一のインシデントを調査できます。
さらに、Microsoft は、インシデントによって「アラート、影響を受ける資産 (ユーザー、デバイス、メールボックス)、証拠、エンティティが 1 つのビューに集約される」ため、アナリストがより効率的にトリアージ、調査、修復を行えるようになると述べています。
これはポータル内の他の領域とは異なります。レポートはトレンドとポスチャのレポートを提供し、ハンティングは生データを対象としたプロアクティブなクエリベースの脅威ハンティングを提供します。攻撃シミュレーター(Defender for Office 365内)は、実際のアラートを集約するのではなく、トレーニングや意識向上のためのシミュレーション(フィッシングなど)を実行するために使用されます。したがって、Microsoft 365セキュリティセンターで「同じ攻撃に関連するアラートの集約を表示」する必要がある場合は、インシデントが適切な場所です。インシデントでは、相関性のある攻撃ストーリーが表示され、単一の統合されたレコードからエンドツーエンドの対応と修復が可能になります。
