שתף באמצעות


קישור תוצאות שאילתה לאירוע

חל על:

  • Microsoft Defender XDR

באפשרותך להשתמש בקישור לתכונת מקרה כדי להוסיף תוצאות מתקדמות של שאילתת ציד לתקרית חדשה או קיימת בחקירה. תכונה זו עוזרת לך ללכוד בקלות רשומות מפעילויות ציד מתקדמות, המאפשרות לך ליצור ציר זמן או הקשר עשירים יותר של אירועים בנוגע לאירוע.

  1. בדף שאילתת הציד המתקדם, הזן תחילה את השאילתה בשדה השאילתה שסופק ולאחר מכן בחר הפעל שאילתה כדי לקבל את התוצאות.

    דף השאילתה בפורטל Microsoft Defender הבא

  2. בדף תוצאות, בחר את האירועים או הרשומות הקשורים לחקירה חדשה או נוכחית שאתה עובד בה ולאחר מכן בחר קשר לאירוע.

    האפשרות 'קשר למקריות' של הכרטיסיה 'תוצאות' Microsoft Defender הפורטל

  3. חפש את המקטע פרטי התראה בחלונית קישור לאירוע ולאחר מכן בחר Create מקרה חדש כדי להמיר את האירועים להתראות ול לקבץ אותם לאירוע חדש:

    המקטע פרטי התראה בחלונית קישור למקריות בפורטל Microsoft Defender שלך

    לחלופין , בחר קשר למקרי קיים כדי להוסיף את הרשומות שנבחרו לתקרית קיימת. בחר את המקרה הקשור מהרשימה הנפתחת של האירועים הקיימים. באפשרותך גם להזין את התווים הראשונים של שם האירוע או המזהה כדי למצוא את המקרה הקיים.

    המקטע 'פרטי התראה' בפורטל Microsoft Defender שלך

  4. עבור כל אחת מהבחירות, ספק את הפרטים הבאים ולאחר מכן בחר הבא:

    • כותרת התראה - ספק כותרת תיאורית עבור התוצאות שמגיבים לתקריות שלך יוכלו להבין. כותרת תיאורית זו הופכת לכותרת ההתראה.
    • חומרה - בחר את החומרה הרלוונטית לקבוצת ההתראות.
    • Category - בחר את קטגוריית האיום המתאימה עבור ההתראות.
    • תיאור - ספק תיאור שימושי עבור ההתראות המ מקובצות.
    • פעולות מומלצות - ספק פעולות תיקון.
  5. במקטע ישויות מושפעות , בחר את הישות הראשית המושפעת או המושפעת. רק הישויות הרלוונטיות המבוססות על תוצאות השאילתה מופיעות במקטע זה. בדוגמה שלנו, השתמשנו בשאילתה כדי למצוא אירועים הקשורים לתקרית אפשרית של סינון דואר אלקטרוני, ולכן השולח הוא הישות המושפעת. אם קיימים ארבעה שולחים שונים, לדוגמה, ארבע התראות נוצרות ומקושרות לתקרית שנבחרה.

    הישות המושפעת במקטע קישור למקריות בפורטל Microsoft Defender שלך

  6. בחר באפשרות הבא.

  7. סקור את הפרטים שסיפקת במקטע סיכום . דף התוצאות במקטע קישור למקריות בפורטל Microsoft Defender שלך

  8. בחר בוצע.

הצגת רשומות מקושרות באירוע

באפשרותך לבחור את שם האירוע כדי להציג את האירוע שהאירועים מקושרים לו. מסך פרטי האירוע בכרטיסיה 'סיכום' בפורטל Microsoft Defender שלך

בדוגמה שלנו, ארבע ההתראות, המייצגות את ארבעת האירועים שנבחרו, קושרו בהצלחה לאירוע חדש.

בכל אחד מעמודי ההתראה, באפשרותך למצוא את המידע המלא על האירוע או האירועים בתצוגת ציר זמן (אם זמינים) ותהצגת תוצאות שאילתה. הפרטים המלאים של אירוע בכרטיסיה 'ציר זמן' Microsoft Defender החדש

באפשרותך גם לבחור את האירוע כדי לפתוח את החלונית בדוק רשומה . פרטי הרשומה לבדיקה של אירוע בכרטיסיה 'ציר זמן' Microsoft Defender הפורטל

סינון אירועים שנוספו באמצעות ציד מתקדם

באפשרותך להציג אילו התראות נוצרו מ'ציד מתקדם' על-ידי סינון התור 'אירועים' ו'התראות' לפי מקור זיהוי ידני.

הסינון הידני של תור אירועים והתראות בדף 'מסננים' Microsoft Defender שלך

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.