Propojení výsledků dotazu s incidentem
Platí pro:
- Microsoft Defender XDR
Pomocí funkce odkaz na incident můžete přidat výsledky rozšířeného dotazu proaktivního vyhledávání do nového nebo existujícího incidentu, který se prověřuje. Tato funkce umožňuje snadno zachytit záznamy z pokročilých aktivit proaktivního vyhledávání, což umožňuje vytvořit bohatší časovou osu nebo kontext událostí týkajících se incidentu.
Propojení výsledků s novými nebo existujícími incidenty
Na stránce rozšířeného dotazu proaktivního vyhledávání nejprve zadejte dotaz do zadaného pole dotazu a pak vyberte Spustit dotaz , abyste získali výsledky.
Na stránce Výsledky vyberte události nebo záznamy, které souvisejí s novým nebo aktuálním šetřením, na kterém pracujete, a pak vyberte Propojit s incidentem.
V podokně Odkaz na incident vyhledejte část Podrobnosti výstrahy a pak vyberte Create nový incident, abyste události převedli na výstrahy a seskupili je na nový incident:
Nebo vyberte Odkaz na existující incident a přidejte vybrané záznamy do existujícího incidentu. V rozevíracím seznamu existujících incidentů vyberte související incident. Můžete také zadat několik prvních znaků názvu nebo ID incidentu a vyhledat existující incident.
U obou možností zadejte následující podrobnosti a pak vyberte Další:
- Název upozornění – zadejte popisný název výsledků, kterým můžou vaši reakce na incidenty porozumět. Tento popisný název se stane názvem upozornění.
- Závažnost – Zvolte závažnost, která se vztahuje na skupinu výstrah.
- Kategorie – Zvolte odpovídající kategorii hrozeb pro výstrahy.
- Popis – zadejte užitečný popis seskupených výstrah.
- Doporučené akce – Zadejte nápravné akce.
V části Ovlivněné entity vyberte hlavní ovlivněnou nebo ovlivněnou entitu. V této části se zobrazí pouze příslušné entity založené na výsledcích dotazu. V našem příkladu jsme použili dotaz k vyhledání událostí souvisejících s možným incidentem exfiltrace e-mailu, takže odesílatel je ovlivněná entita. Pokud existují například čtyři různí odesílatelé, vytvoří se čtyři výstrahy, které se propojí s vybraným incidentem.
Vyberte Další.
Zkontrolujte podrobnosti, které jste zadali v části Souhrn .
Vyberte Hotovo.
Zobrazení propojených záznamů v incidentu
Výběrem názvu incidentu můžete zobrazit incident, se kterým jsou události propojené.
V našem příkladu byly čtyři výstrahy představující čtyři vybrané události úspěšně propojeny s novým incidentem.
Na každé stránce upozornění najdete úplné informace o události nebo událostech v zobrazení časové osy (pokud je k dispozici) a v zobrazení výsledků dotazu.
Můžete také vybrat událost a otevřít podokno Zkontrolovat záznam .
Filtrování událostí přidaných pomocí rozšířeného proaktivního vyhledávání
Které výstrahy se vygenerovaly z rozšířeného proaktivního vyhledávání, můžete zobrazit filtrováním fronty incidentů a fronty výstrah podle zdroje ručního zjišťování.
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro