Наблюдаемые расхождения автоматизации

Привет, команда... Я хочу знать логику работы механизма автоматизации Defender XDR. Как он работает? Я заметил, что поведение механизма автоматизации Defender XDR противоречит ожиданиям одинаковой обработки инцидентов и автоматизации в обеих средах, были обнаружены расхождения. В частности, инциденты с оповещениями высокой степени серьезности автоматически закрывались механизмом автоматизации Defender XDR до того, как попадали в SOC для рассмотрения, что вызывает обеспокоенность у клиентов и коллег. Правила автоматизации четко регистрируются в журнале действий, тогда как действия, выполняемые Microsoft Defender XDR, менее прозрачны. Оповещение высокой степени серьезности, связанное с фишинговым инцидентом, было закрыто автоматизацией Defender XDR, в результате чего связанный инцидент был закрыт и удален из рассмотрения SOC. При этом автоматизация была запущена не нашими собственными правилами, а Microsoft Defender XDR, и мы запросили разъяснения по поводу лежащей в основе логики.