ربط نتائج الاستعلام بحدث
ينطبق على:
- Microsoft Defender XDR
يمكنك استخدام الارتباط إلى ميزة الحدث لإضافة نتائج استعلام تتبع متقدمة إلى حادث جديد أو موجود قيد التحقيق. تساعدك هذه الميزة على التقاط السجلات بسهولة من أنشطة التتبع المتقدمة، والتي تمكنك من إنشاء مخطط زمني أو سياق أكثر ثراء للأحداث المتعلقة بالحادث.
ربط النتائج بالحوادث الجديدة أو الحالية
في صفحة استعلام التتبع المتقدم، أدخل الاستعلام أولا في حقل الاستعلام المتوفر ثم حدد تشغيل الاستعلام للحصول على نتائجك.
في صفحة النتائج، حدد الأحداث أو السجلات المرتبطة بتحقيق جديد أو حالي تعمل عليه، ثم حدد ارتباط بالحادث.
ابحث عن قسم Alert details في جزء Link to incident، ثم حدد الإنشاء حادث جديد لتحويل الأحداث إلى تنبيهات وتجميعها إلى حدث جديد:
أو حدد ارتباط بحادث موجود لإضافة السجلات المحددة إلى سجل موجود. اختر الحادث ذي الصلة من القائمة المنسدلة للحوادث الموجودة. يمكنك أيضا إدخال الأحرف القليلة الأولى من اسم الحدث أو المعرف للعثور على الحادث الحالي.
لأي من التحديدين، قم بتوفير التفاصيل التالية، ثم حدد التالي:
- عنوان التنبيه - توفير عنوان وصفي للنتائج التي يمكن لمستجيبي الحوادث فهمها. يصبح هذا العنوان الوصفي عنوان التنبيه.
- الخطورة - اختر الخطورة المطبقة على مجموعة التنبيهات.
- الفئة - اختر فئة التهديد المناسبة للتنبيهات.
- الوصف - قدم وصفا مفيدا للتنبيهات المجمعة.
- الإجراءات الموصى بها - توفير إجراءات المعالجة.
في قسم الكيانات المتأثرة ، حدد الكيان الرئيسي المتأثر أو المتأثر. تظهر فقط الكيانات القابلة للتطبيق استنادا إلى نتائج الاستعلام في هذا القسم. في مثالنا، استخدمنا استعلاما للعثور على الأحداث المتعلقة بحادث النقل غير المصرح للبريد الإلكتروني المحتمل، وبالتالي فإن المرسل هو الكيان المتأثر. إذا كان هناك أربعة مرسلين مختلفين، على سبيل المثال، يتم إنشاء أربعة تنبيهات وربطها بالحادث المختار.
حدد التالي.
حدد تم.
عرض السجلات المرتبطة في الحدث
يمكنك تحديد اسم الحدث لعرض الحدث الذي ترتبط به الأحداث.
في مثالنا، تم ربط التنبيهات الأربعة، التي تمثل الأحداث الأربعة المحددة، بنجاح بحادث جديد.
في كل صفحة من صفحات التنبيه، يمكنك العثور على المعلومات الكاملة حول الحدث أو الأحداث في طريقة عرض المخطط الزمني (إذا كانت متوفرة) وعرض نتائج الاستعلام.
يمكنك أيضا تحديد الحدث لفتح جزء فحص السجل .
تصفية الأحداث المضافة باستخدام التتبع المتقدم
يمكنك عرض التنبيهات التي تم إنشاؤها من التتبع المتقدم عن طريق تصفية قائمة انتظار الحوادث وقائمة انتظار التنبيهات حسب مصدر الكشف اليدوي .
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ