Del via

Sammenkæd forespørgselsresultater med en hændelse

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Du kan bruge funktionen link til hændelse til at føje avancerede resultater af jagtforespørgslen til en ny eller eksisterende hændelse, der undersøges. Denne funktion hjælper dig med nemt at registrere poster fra avancerede jagtaktiviteter, hvilket giver dig mulighed for at oprette en mere detaljeret tidslinje eller kontekst for hændelser vedrørende en hændelse.

  1. På siden med avanceret jagtforespørgsel skal du først angive din forespørgsel i det angivne forespørgselsfelt og derefter vælge Kør forespørgsel for at få dine resultater.

    Forespørgselssiden på Microsoft Defender-portalen

  2. På siden Resultater skal du vælge de hændelser eller poster, der er relateret til en ny eller aktuel undersøgelse, du arbejder på, og derefter vælge Link til hændelse.

    Indstillingen Link til hændelse under fanen Resultater på portalen Microsoft Defender

  3. Find afsnittet Beskedoplysninger i ruden Link til hændelse, og vælg derefter Opret ny hændelse for at konvertere hændelserne til beskeder, og gruppér dem til en ny hændelse:

    Afsnittet Beskedoplysninger i ruden Link til hændelse på portalen Microsoft Defender

    Eller vælg Link til en eksisterende hændelse for at føje de valgte poster til en eksisterende. Vælg den relaterede hændelse på rullelisten over eksisterende hændelser. Du kan også angive de første par tegn i hændelsesnavnet eller id'et for at finde den eksisterende hændelse.

    Afsnittet Beskedoplysninger på Microsoft Defender-portalen

  4. For begge valg skal du angive følgende oplysninger og derefter vælge Næste:

    • Beskedtitel – angiv en beskrivende titel på de resultater, som dine hændelsesreagere kan forstå. Denne beskrivende titel bliver beskedens titel.
    • Alvorsgrad – Vælg den alvorsgrad, der skal anvendes på gruppen af beskeder.
    • Category – Vælg den relevante trusselskategori for beskederne.
    • Beskrivelse – Giv en nyttig beskrivelse af de grupperede beskeder.
    • Anbefalede handlinger – Angiv afhjælpningshandlinger.

  5. I afsnittet Påvirkede enheder skal du vælge det primære berørte eller påvirkede objekt. Det er kun de relevante objekter, der er baseret på forespørgselsresultaterne, der vises i dette afsnit. I vores eksempel brugte vi en forespørgsel til at finde hændelser, der er relateret til en mulig mailudfiltreringshændelse, og derfor er Afsenderen den påvirkede enhed. Hvis der f.eks. er fire forskellige afsendere, oprettes der fire beskeder, som er knyttet til den valgte hændelse.

    Det påvirkede objekt i afsnittet Link til hændelse på portalen Microsoft Defender

  6. Vælg Næste.

  7. Gennemse de oplysninger, du har angivet i afsnittet Oversigt . Resultatsiden i afsnittet Link til hændelse på portalen Microsoft Defender

  8. Vælg Udført.

Få vist sammenkædede poster i hændelsen

Du kan vælge navnet på hændelsen for at få vist den hændelse, som hændelserne er knyttet til. Skærmbilledet med hændelsesoplysninger under fanen Oversigt på Microsoft Defender-portalen

I vores eksempel blev de fire beskeder, der repræsenterer de fire valgte hændelser, kædet sammen med en ny hændelse.

På hver af beskedsiderne kan du finde de komplette oplysninger om hændelsen eller hændelserne i tidslinjevisning (hvis den er tilgængelig) og visningen med forespørgselsresultater. De fuldstændige oplysninger om en begivenhed på fanen Tidslinje på portalen Microsoft Defender

Du kan også vælge hændelsen for at åbne ruden Undersøg post . Oplysningerne om inspektionsposten for en hændelse på fanen Tidslinje på Microsoft Defender portalen

Filtrer efter begivenheder, der er tilføjet ved hjælp af avanceret jagt

Du kan få vist, hvilke beskeder der blev genereret fra avanceret jagt, ved at filtrere hændelseskøen og beskedkøen efter kilden til manuel registrering.

Manuel filtrering af køen Hændelser og beskeder på siden Filtre på Microsoft Defender-portalen

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.