ربط نتائج الاستعلام بحدث

  • مقالة

ينطبق على:

  • Microsoft Defender XDR

يمكنك استخدام الارتباط إلى ميزة الحدث لإضافة نتائج استعلام تتبع متقدمة إلى حادث جديد أو موجود قيد التحقيق. تساعدك هذه الميزة على التقاط السجلات بسهولة من أنشطة التتبع المتقدمة، والتي تمكنك من إنشاء مخطط زمني أو سياق أكثر ثراء للأحداث المتعلقة بالحادث.

  1. في صفحة استعلام التتبع المتقدم، أدخل الاستعلام أولا في حقل الاستعلام المتوفر ثم حدد تشغيل الاستعلام للحصول على نتائجك.

    صفحة الاستعلام في مدخل Microsoft Defender

  2. في صفحة النتائج، حدد الأحداث أو السجلات المرتبطة بتحقيق جديد أو حالي تعمل عليه، ثم حدد ارتباط بالحادث.

    خيار الارتباط بالحادث من علامة التبويب النتائج في مدخل Microsoft Defender

  3. ابحث عن قسم Alert details في جزء Link to incident، ثم حدد الإنشاء حادث جديد لتحويل الأحداث إلى تنبيهات وتجميعها إلى حدث جديد:

    قسم Alert details في جزء Link to incident في مدخل Microsoft Defender

    أو حدد ارتباط بحادث موجود لإضافة السجلات المحددة إلى سجل موجود. اختر الحادث ذي الصلة من القائمة المنسدلة للحوادث الموجودة. يمكنك أيضا إدخال الأحرف القليلة الأولى من اسم الحدث أو المعرف للعثور على الحادث الحالي.

    قسم تفاصيل التنبيه في مدخل Microsoft Defender

  4. لأي من التحديدين، قم بتوفير التفاصيل التالية، ثم حدد التالي:

    • عنوان التنبيه - توفير عنوان وصفي للنتائج التي يمكن لمستجيبي الحوادث فهمها. يصبح هذا العنوان الوصفي عنوان التنبيه.
    • الخطورة - اختر الخطورة المطبقة على مجموعة التنبيهات.
    • الفئة - اختر فئة التهديد المناسبة للتنبيهات.
    • الوصف - قدم وصفا مفيدا للتنبيهات المجمعة.
    • الإجراءات الموصى بها - توفير إجراءات المعالجة.

  5. في قسم الكيانات المتأثرة ، حدد الكيان الرئيسي المتأثر أو المتأثر. تظهر فقط الكيانات القابلة للتطبيق استنادا إلى نتائج الاستعلام في هذا القسم. في مثالنا، استخدمنا استعلاما للعثور على الأحداث المتعلقة بحادث النقل غير المصرح للبريد الإلكتروني المحتمل، وبالتالي فإن المرسل هو الكيان المتأثر. إذا كان هناك أربعة مرسلين مختلفين، على سبيل المثال، يتم إنشاء أربعة تنبيهات وربطها بالحادث المختار.

    الكيان المتأثر في قسم Link to incident في مدخل Microsoft Defender

  6. حدد التالي.

  7. راجع التفاصيل التي قدمتها في قسم الملخص . صفحة النتائج في قسم الارتباط بالحادث في مدخل Microsoft Defender

  8. حدد تم.

عرض السجلات المرتبطة في الحدث

يمكنك تحديد اسم الحدث لعرض الحدث الذي ترتبط به الأحداث. شاشة تفاصيل الحدث في علامة التبويب ملخص في مدخل Microsoft Defender

في مثالنا، تم ربط التنبيهات الأربعة، التي تمثل الأحداث الأربعة المحددة، بنجاح بحادث جديد.

في كل صفحة من صفحات التنبيه، يمكنك العثور على المعلومات الكاملة حول الحدث أو الأحداث في طريقة عرض المخطط الزمني (إذا كانت متوفرة) وعرض نتائج الاستعلام. التفاصيل الكاملة لحدث في علامة التبويب اليوميات في مدخل Microsoft Defender

يمكنك أيضا تحديد الحدث لفتح جزء فحص السجل . تفاصيل سجل الفحص لحدث في علامة التبويب اليوميات في مدخل Microsoft Defender

تصفية الأحداث المضافة باستخدام التتبع المتقدم

يمكنك عرض التنبيهات التي تم إنشاؤها من التتبع المتقدم عن طريق تصفية قائمة انتظار الحوادث وقائمة انتظار التنبيهات حسب مصدر الكشف اليدوي .

التصفية اليدوية لقائمة انتظار الحوادث والتنبيهات في صفحة عوامل التصفية في مدخل Microsoft Defender

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.