Lekérdezés eredményeinek csatolása incidenshez

Érintett szolgáltatás:

• Microsoft Defender XDR

Az incidensre mutató hivatkozással speciális veszélyforrás-keresési lekérdezési eredményeket adhat hozzá egy vizsgálat alatt álló új vagy meglévő incidenshez. Ezzel a funkcióval egyszerűen rögzítheti a speciális veszélyforrás-keresési tevékenységek rekordjait, így gazdagabb idősort vagy eseménykörnyezetet hozhat létre az incidensekkel kapcsolatban.

Eredmények csatolása új vagy meglévő incidensekhez

1. A speciális veszélyforrás-keresési lekérdezés oldalon először írja be a lekérdezést a megadott lekérdezésmezőbe, majd válassza a Lekérdezés futtatása lehetőséget az eredmények lekéréséhez.

   

2. Az Eredmények lapon jelölje ki azokat az eseményeket vagy rekordokat, amelyek egy új vagy aktuális vizsgálathoz kapcsolódnak, amelyen dolgozik, majd válassza a Csatolás incidenshez lehetőséget.

   

3. Keresse meg a Riasztás részletei szakaszt a Hivatkozás incidenshez panelen, majd válassza Létrehozás új incidens lehetőséget az események riasztássá alakításához, majd csoportosítsa őket új incidenssé:

   

   Vagy válassza a Csatolás meglévő incidenshez lehetőséget a kijelölt rekordok meglévőhöz való hozzáadásához. Válassza ki a kapcsolódó incidenst a meglévő incidensek legördülő listájából. A meglévő incidens megkereséséhez megadhatja az incidens nevének vagy azonosítójának első néhány karakterét is.

   

4. Mindkét kijelölésnél adja meg a következő adatokat, majd válassza a Tovább gombot:

   • Riasztás címe – adjon meg egy leíró címet az incidens válaszadói számára érthető eredményekhez. Ez a leíró cím lesz a riasztás címe.
   • Súlyosság – Válassza ki a riasztások csoportjára vonatkozó súlyosságot.
   • Kategória – Válassza ki a riasztásoknak megfelelő fenyegetéskategóriát.
   • Leírás – Adjon hasznos leírást a csoportosított riasztásokról.
   • Javasolt műveletek – Szervizelési műveletek megadása.

5. Az Érintett entitások szakaszban válassza ki a fő érintett vagy érintett entitást. Ebben a szakaszban csak a lekérdezési eredményeken alapuló alkalmazható entitások jelennek meg. A példánkban egy lekérdezéssel kerestük meg egy lehetséges e-mail-kiszivárgási incidenshez kapcsolódó eseményeket, ezért a Küldő az érintett entitás. Ha például négy különböző feladó van, a rendszer négy riasztást hoz létre és csatol a kiválasztott incidenshez.

   

6. Válassza a Tovább gombot.

7. Tekintse át az Összefoglalás szakaszban megadott részleteket.

8. Válassza a Kész lehetőséget.

Csatolt rekordok megtekintése az incidensben

Az incidens nevét kiválasztva megtekintheti azt az incidenst, amelyhez az események kapcsolódnak.

Példánkban a négy kiválasztott eseményt képviselő négy riasztás sikeresen összekapcsolva lett egy új incidenssel.

Az egyes riasztási oldalakon az eseményre vagy eseményekre vonatkozó teljes információkat megtalálhatja idővonal nézetben (ha elérhető) és lekérdezési eredmények nézetben.

Az eseményt a Rekord vizsgálata panel megnyitásához is kiválaszthatja .

Speciális veszélyforrás-kereséssel hozzáadott események szűrése

Az Incidensek üzenetsor és a Riasztások üzenetsor manuális észlelési forrás szerinti szűrésével megtekintheti, hogy mely riasztások lettek létrehozva a speciális veszélyforrás-keresésből.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.