Del via

Koble spørringsresultater til en hendelse

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Du kan bruke koblingen til hendelsesfunksjonen til å legge til avanserte jaktspørringsresultater i en ny eller eksisterende hendelse under etterforskning. Denne funksjonen hjelper deg med enkelt å registrere poster fra avanserte jaktaktiviteter, noe som gjør det mulig å opprette en mer omfattende tidslinje eller kontekst for hendelser angående en hendelse.

  1. På spørringssiden for avansert jakt skriver du først inn spørringen i spørringsfeltet, og deretter velger du Kjør spørring for å få resultatene.

    Spørringssiden i Microsoft Defender-portalen

  2. Velg hendelsene eller postene som er relatert til en ny eller gjeldende undersøkelse du arbeider med, på Resultat-siden, og velg deretter Koble til hendelse.

    Alternativet Koble til hendelse på Resultater-fanen i Microsoft Defender-portalen

  3. Finn delen Varseldetaljer i ruten Koble til hendelse, og velg deretter Opprett ny hendelse for å konvertere hendelsene til varsler og gruppere dem til en ny hendelse:

    Delen Varseldetaljer i ruten Koble til hendelse i Microsoft Defender-portalen

    Eller velg Koble til en eksisterende hendelse for å legge til de valgte oppføringene i en eksisterende hendelse. Velg den relaterte hendelsen fra rullegardinlisten over eksisterende hendelser. Du kan også skrive inn de første tegnene i hendelsesnavnet eller ID-en for å finne den eksisterende hendelsen.

    Delen Varseldetaljer i Microsoft Defender-portalen

  4. Angi følgende detaljer for begge valgene, og velg deretter Neste:

    • Varseltittel – gi en beskrivende tittel for resultatene som hendelsesrespondererne kan forstå. Denne beskrivende tittelen blir varseltittelen.
    • Alvorsgrad – Velg alvorsgraden som gjelder for gruppen med varsler.
    • Kategori – Velg riktig trusselkategori for varslene.
    • Beskrivelse – Gi en nyttig beskrivelse for de grupperte varslene.
    • Anbefalte handlinger – Angi utbedringshandlinger.

  5. Velg den berørte eller berørte enheten i delen Berørte enheter. Bare gjeldende enheter basert på spørringsresultatene vises i denne delen. I vårt eksempel brukte vi en spørring til å finne hendelser relatert til en mulig e-postutfiltreringshendelse, derfor er avsenderen den berørte enheten. Hvis det for eksempel er fire forskjellige avsendere, opprettes det fire varsler og er knyttet til den valgte hendelsen.

    Den berørte enheten i delen Kobling til hendelse i Microsoft Defender-portalen

  6. Velg Neste.

  7. Se gjennom detaljene du har oppgitt i Sammendrag-delen . Resultatsiden i delen Kobling til hendelse i portalen Microsoft Defender

  8. Velg Ferdig.

Vis koblede poster i hendelsen

Du kan velge hendelsesnavnet for å vise hendelsen som hendelsene er knyttet til. Skjermbildet detaljer om hendelsen i Sammendrag-fanen i Microsoft Defender-portalen

I vårt eksempel ble de fire varslene, som representerer de fire valgte hendelsene, knyttet til en ny hendelse.

På hver av varselsidene finner du fullstendig informasjon om hendelsen eller hendelsene i tidslinjevisning (hvis tilgjengelig) og visning av spørringsresultater. Alle detaljene for en hendelse i Tidslinje-fanen i Microsoft Defender-portalen

Du kan også velge hendelsen for å åpne Undersøk post-ruten . Undersøk oppføringsdetaljene for en hendelse i Tidslinje-fanen i Microsoft Defender-portalen

Filter for hendelser som er lagt til ved hjelp av avansert jakt

Du kan vise hvilke varsler som ble generert fra avansert jakt, ved å filtrere Hendelser-køen og Varsler-køen etter manuell gjenkjenningskilde.

Manuell filtrering av hendelser og varsler-køen på Filter-siden i Microsoft Defender-portalen

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.