転送されたインシデント

相関エンジンが既存のEDRインシデントからの検出がより広範な相関攻撃の一部であると検出した場合、それらの検出は新しい相関インシデントに転送されます。元のインシデントは転送済みとしてマークされます。

転送されたインシデントにより、相関エンジンは関連するアクティビティを単一のインシデントに統合し、攻撃のより完全なビューを提供しつつ、検出が発生した元のインシデントへの参照を保持します。

インシデントが転送されるとどうなるか

• 元のインシデントからのすべての検出が新しい相関インシデントに移動されます。
• 元のインシデントはインシデントリストで転送済みとしてマークされます。
• インシデントの詳細に新しい相関インシデントへのリンクを含むメッセージが表示されます。
• スマート修復を含む対応アクションは転送されたインシデントには利用できません。調査と対応には新しい相関インシデントを使用してください。

転送されたインシデントを表示

インシデントリストでインシデントIDの横にある転送済みアイコンで転送されたインシデントを識別できます。

インシデントリストに転送されたインシデントを表示するには

1. Cyber Protectコンソールで、[保護] > [インシデント] に進みます。

2. XDRオントグルの横の[表示]をクリックし、転送されたインシデントを表示を有効にします。

   転送されたインシデントはリストでグレー表示されます。

3. 転送済みアイコンをクリックしてインシデントの詳細を表示します。

   詳細パネルには、転送された検出を含む新しい相関インシデントへのリンクが含まれています。

転送されたアクティビティを調査するには、転送されたインシデントの詳細にあるリンクを使用して、新しい相関インシデントを開きます。