Queryresultaten koppelen aan een incident

Van toepassing op:

• Microsoft Defender XDR

U kunt de koppeling naar incidentfunctie gebruiken om geavanceerde opsporingsqueryresultaten toe te voegen aan een nieuw of bestaand incident dat wordt onderzocht. Met deze functie kunt u eenvoudig records vastleggen van geavanceerde opsporingsactiviteiten, waardoor u een uitgebreidere tijdlijn of context van gebeurtenissen met betrekking tot een incident kunt maken.

Resultaten koppelen aan nieuwe of bestaande incidenten

1. Voer op de pagina geavanceerde opsporingsquery eerst uw query in het opgegeven queryveld in en selecteer query uitvoeren om de resultaten op te halen.

   

2. Selecteer op de pagina Resultaten de gebeurtenissen of records die betrekking hebben op een nieuw of huidig onderzoek waaraan u werkt en selecteer vervolgens Koppelen aan incident.

   

3. Zoek de sectie Waarschuwingsdetails in het deelvenster Koppelen aan incident en selecteer vervolgens Nieuw incident maken om de gebeurtenissen te converteren naar waarschuwingen en ze te groeperen in een nieuw incident:

   

   Of selecteer Koppelen aan een bestaand incident om de geselecteerde records toe te voegen aan een bestaand incident. Kies het gerelateerde incident in de vervolgkeuzelijst met bestaande incidenten. U kunt ook de eerste paar tekens van de naam of id van het incident invoeren om het bestaande incident te vinden.

   

4. Geef voor een van beide de volgende details op en selecteer vervolgens Volgende:

   • Waarschuwingstitel : geef een beschrijvende titel op voor de resultaten die uw incident responders kunnen begrijpen. Deze beschrijvende titel wordt de titel van de waarschuwing.
   • Ernst : kies de ernst die van toepassing is op de groep waarschuwingen.
   • Categorie : kies de juiste bedreigingscategorie voor de waarschuwingen.
   • Beschrijving : geef een nuttige beschrijving voor de gegroepeerde waarschuwingen.
   • Aanbevolen acties : herstelacties opgeven.

5. Selecteer in de sectie Beïnvloede entiteiten de belangrijkste betrokken of beïnvloede entiteit. Alleen de toepasselijke entiteiten op basis van de queryresultaten worden in deze sectie weergegeven. In ons voorbeeld hebben we een query gebruikt om gebeurtenissen te vinden die betrekking hebben op een mogelijk e-mailexfiltratie-incident. Daarom is de afzender de betrokken entiteit. Als er bijvoorbeeld vier verschillende afzenders zijn, worden er vier waarschuwingen gemaakt en gekoppeld aan het gekozen incident.

   

6. Selecteer Volgende.

7. Bekijk de details die u hebt opgegeven in de sectie Samenvatting .

8. Selecteer Gereed.

Gekoppelde records in het incident weergeven

U kunt de naam van het incident selecteren om het incident weer te geven waaraan de gebeurtenissen zijn gekoppeld.

In ons voorbeeld zijn de vier waarschuwingen, die de vier geselecteerde gebeurtenissen vertegenwoordigen, gekoppeld aan een nieuw incident.

Op elk van de waarschuwingspagina's vindt u de volledige informatie over de gebeurtenis of gebeurtenissen in de tijdlijnweergave (indien beschikbaar) en de queryresultatenweergave.

U kunt ook de gebeurtenis selecteren om het deelvenster Record inspecteren te openen.

Filteren op gebeurtenissen die zijn toegevoegd met behulp van geavanceerde opsporing

U kunt bekijken welke waarschuwingen zijn gegenereerd op basis van geavanceerde opsporing door de wachtrij Incidenten en de wachtrij Waarschuwingen te filteren op handmatige detectiebron.

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.