Sdílet prostřednictvím

Propojení výsledků dotazu s incidentem

  • Článek

Platí pro:

  • Microsoft Defender XDR

Pomocí funkce odkaz na incident můžete přidat výsledky rozšířeného dotazu proaktivního vyhledávání do nového nebo existujícího incidentu, který se prověřuje. Tato funkce umožňuje snadno zachytit záznamy z pokročilých aktivit proaktivního vyhledávání, což umožňuje vytvořit bohatší časovou osu nebo kontext událostí týkajících se incidentu.

  1. Na stránce rozšířeného dotazu proaktivního vyhledávání nejprve zadejte dotaz do zadaného pole dotazu a pak vyberte Spustit dotaz , abyste získali výsledky.

    Stránka Dotaz na portálu Microsoft Defender

  2. Na stránce Výsledky vyberte události nebo záznamy, které souvisejí s novým nebo aktuálním šetřením, na kterém pracujete, a pak vyberte Propojit s incidentem.

    Možnost Odkaz na incident na kartě Výsledky na portálu Microsoft Defender

  3. V podokně Odkaz na incident vyhledejte část Podrobnosti výstrahy a pak vyberte Create nový incident, abyste události převedli na výstrahy a seskupili je na nový incident:

    Část Podrobnosti výstrahy v podokně Odkaz na incident na portálu Microsoft Defender

    Nebo vyberte Odkaz na existující incident a přidejte vybrané záznamy do existujícího incidentu. V rozevíracím seznamu existujících incidentů vyberte související incident. Můžete také zadat několik prvních znaků názvu nebo ID incidentu a vyhledat existující incident.

    Část Podrobnosti o upozornění na portálu Microsoft Defender

  4. U obou možností zadejte následující podrobnosti a pak vyberte Další:

    • Název upozornění – zadejte popisný název výsledků, kterým můžou vaši reakce na incidenty porozumět. Tento popisný název se stane názvem upozornění.
    • Závažnost – Zvolte závažnost, která se vztahuje na skupinu výstrah.
    • Kategorie – Zvolte odpovídající kategorii hrozeb pro výstrahy.
    • Popis – zadejte užitečný popis seskupených výstrah.
    • Doporučené akce – Zadejte nápravné akce.

  5. V části Ovlivněné entity vyberte hlavní ovlivněnou nebo ovlivněnou entitu. V této části se zobrazí pouze příslušné entity založené na výsledcích dotazu. V našem příkladu jsme použili dotaz k vyhledání událostí souvisejících s možným incidentem exfiltrace e-mailu, takže odesílatel je ovlivněná entita. Pokud existují například čtyři různí odesílatelé, vytvoří se čtyři výstrahy, které se propojí s vybraným incidentem.

    Ovlivněná entita v části Odkaz na incident na portálu Microsoft Defender

  6. Vyberte Další.

  7. Zkontrolujte podrobnosti, které jste zadali v části Souhrn . Stránka výsledků v části Odkaz na incident na portálu Microsoft Defender

  8. Vyberte Hotovo.

Zobrazení propojených záznamů v incidentu

Výběrem názvu incidentu můžete zobrazit incident, se kterým jsou události propojené. Obrazovka s podrobnostmi události na kartě Souhrn na portálu Microsoft Defender

V našem příkladu byly čtyři výstrahy představující čtyři vybrané události úspěšně propojeny s novým incidentem.

Na každé stránce upozornění najdete úplné informace o události nebo událostech v zobrazení časové osy (pokud je k dispozici) a v zobrazení výsledků dotazu. Úplné podrobnosti události na kartě Časová osa na portálu Microsoft Defender

Můžete také vybrat událost a otevřít podokno Zkontrolovat záznam . Kontrola podrobností záznamu události na kartě Časová osa na portálu Microsoft Defender

Filtrování událostí přidaných pomocí rozšířeného proaktivního vyhledávání

Které výstrahy se vygenerovaly z rozšířeného proaktivního vyhledávání, můžete zobrazit filtrováním fronty incidentů a fronty výstrah podle zdroje ručního zjišťování.

Ruční filtrování fronty incidentů a upozornění na stránce Filtry na portálu Microsoft Defender

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.