Collegare i risultati della query a un evento imprevisto

Si applica a:

• Microsoft Defender XDR

È possibile usare la funzionalità collegamento a evento imprevisto per aggiungere risultati di query di ricerca avanzata a un evento imprevisto nuovo o esistente in fase di indagine. Questa funzionalità consente di acquisire facilmente i record da attività di ricerca avanzate, che consentono di creare una sequenza temporale o un contesto più completo di eventi relativi a un evento imprevisto.

Collegare i risultati a eventi imprevisti nuovi o esistenti

1. Nella pagina query di ricerca avanzata immettere prima la query nel campo di query specificato e quindi selezionare Esegui query per ottenere i risultati.

   

2. Nella pagina Risultati selezionare gli eventi o i record correlati a un'indagine nuova o corrente su cui si sta lavorando, quindi selezionare Collega all'evento imprevisto.

   

3. Trovare la sezione Dettagli avviso nel riquadro Collegamento all'evento imprevisto, quindi selezionare Create nuovo evento imprevisto per convertire gli eventi in avvisi e raggrupparli in un nuovo evento imprevisto:

   

   In alternativa, selezionare Collega a un evento imprevisto esistente per aggiungere i record selezionati a uno esistente. Scegliere l'evento imprevisto correlato dall'elenco a discesa degli eventi imprevisti esistenti. È anche possibile immettere i primi caratteri del nome o dell'ID dell'evento imprevisto per trovare l'evento imprevisto esistente.

   

4. Per una delle due selezioni, specificare i dettagli seguenti, quindi selezionare Avanti:

   • Titolo avviso : specificare un titolo descrittivo per i risultati che i risponditori degli eventi imprevisti possono comprendere. Questo titolo descrittivo diventa il titolo dell'avviso.
   • Gravità : scegliere la gravità applicabile al gruppo di avvisi.
   • Categoria : scegliere la categoria di minacce appropriata per gli avvisi.
   • Descrizione : fornire una descrizione utile per gli avvisi raggruppati.
   • Azioni consigliate : fornire azioni correttive.

5. Nella sezione Entità interessate selezionare l'entità interessata o interessata principale. In questa sezione vengono visualizzate solo le entità applicabili in base ai risultati della query. Nell'esempio è stata usata una query per trovare gli eventi correlati a un possibile evento imprevisto di esfiltrazione della posta elettronica, pertanto il mittente è l'entità interessata. Se sono presenti quattro mittenti diversi, ad esempio, vengono creati e collegati quattro avvisi all'evento imprevisto scelto.

   

6. Selezionare Avanti.

7. Esaminare i dettagli forniti nella sezione Riepilogo .

8. Scegliere Fine.

Visualizzare i record collegati nell'evento imprevisto

È possibile selezionare il nome dell'evento imprevisto per visualizzare l'evento imprevisto a cui sono collegati gli eventi.

Nell'esempio i quattro avvisi, che rappresentano i quattro eventi selezionati, sono stati collegati correttamente a un nuovo evento imprevisto.

In ognuna delle pagine di avviso è possibile trovare le informazioni complete sull'evento o sugli eventi nella visualizzazione sequenza temporale (se disponibile) e nella visualizzazione dei risultati della query.

È anche possibile selezionare l'evento per aprire il riquadro Controlla record .

Filtrare gli eventi aggiunti usando la ricerca avanzata

È possibile visualizzare gli avvisi generati dalla ricerca avanzata filtrando la coda eventi imprevisti e la coda avvisi in base all'origine di rilevamento manuale .

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.