Delen via


Queryresultaten koppelen aan een incident

Van toepassing op:

  • Microsoft Defender XDR

U kunt de koppeling naar incidentfunctie gebruiken om geavanceerde opsporingsqueryresultaten toe te voegen aan een nieuw of bestaand incident dat wordt onderzocht. Met deze functie kunt u eenvoudig records vastleggen van geavanceerde opsporingsactiviteiten, waardoor u een uitgebreidere tijdlijn of context van gebeurtenissen met betrekking tot een incident kunt maken.

  1. Voer op de pagina geavanceerde opsporingsquery eerst uw query in het opgegeven queryveld in en selecteer query uitvoeren om de resultaten op te halen.

    De pagina Query in de Microsoft Defender-portal

  2. Selecteer op de pagina Resultaten de gebeurtenissen of records die betrekking hebben op een nieuw of huidig onderzoek waaraan u werkt en selecteer vervolgens Koppelen aan incident.

    De optie Koppelen aan incident van het tabblad Resultaten in de Microsoft Defender-portal

  3. Zoek de sectie Waarschuwingsdetails in het deelvenster Koppelen aan incident en selecteer vervolgens Creatie nieuw incident om de gebeurtenissen te converteren naar waarschuwingen en groepeer ze naar een nieuw incident:

    De sectie Waarschuwingsdetails in het deelvenster Koppelen aan incidenten in de Microsoft Defender-portal

    Of selecteer Koppelen aan een bestaand incident om de geselecteerde records toe te voegen aan een bestaand incident. Kies het gerelateerde incident in de vervolgkeuzelijst met bestaande incidenten. U kunt ook de eerste paar tekens van de naam of id van het incident invoeren om het bestaande incident te vinden.

    De sectie Waarschuwingsdetails in de Microsoft Defender-portal

  4. Geef voor een van beide de volgende details op en selecteer vervolgens Volgende:

    • Waarschuwingstitel : geef een beschrijvende titel op voor de resultaten die uw incident responders kunnen begrijpen. Deze beschrijvende titel wordt de titel van de waarschuwing.
    • Ernst : kies de ernst die van toepassing is op de groep waarschuwingen.
    • Categorie : kies de juiste bedreigingscategorie voor de waarschuwingen.
    • Beschrijving : geef een nuttige beschrijving voor de gegroepeerde waarschuwingen.
    • Aanbevolen acties : herstelacties opgeven.
  5. Selecteer in de sectie Beïnvloede entiteiten de belangrijkste betrokken of beïnvloede entiteit. Alleen de toepasselijke entiteiten op basis van de queryresultaten worden in deze sectie weergegeven. In ons voorbeeld hebben we een query gebruikt om gebeurtenissen te vinden die betrekking hebben op een mogelijk e-mailexfiltratie-incident. Daarom is de afzender de betrokken entiteit. Als er bijvoorbeeld vier verschillende afzenders zijn, worden er vier waarschuwingen gemaakt en gekoppeld aan het gekozen incident.

    De betrokken entiteit in de sectie Koppeling naar incident in de Microsoft Defender-portal

  6. Selecteer Volgende.

  7. Bekijk de details die u hebt opgegeven in de sectie Samenvatting . De resultatenpagina in de sectie Koppelen aan incident in de Microsoft Defender-portal

  8. Selecteer Gereed.

Gekoppelde records in het incident weergeven

U kunt de naam van het incident selecteren om het incident weer te geven waaraan de gebeurtenissen zijn gekoppeld. Het scherm met gebeurtenisdetails op het tabblad Samenvatting in de Microsoft Defender-portal

In ons voorbeeld zijn de vier waarschuwingen, die de vier geselecteerde gebeurtenissen vertegenwoordigen, gekoppeld aan een nieuw incident.

Op elk van de waarschuwingspagina's vindt u de volledige informatie over de gebeurtenis of gebeurtenissen in de tijdlijnweergave (indien beschikbaar) en de queryresultatenweergave. De volledige details van een gebeurtenis op het tabblad Tijdlijn in de Microsoft Defender-portal

U kunt ook de gebeurtenis selecteren om het deelvenster Record inspecteren te openen. De recorddetails van een gebeurtenis controleren op het tabblad Tijdlijn in de Microsoft Defender-portal

Filteren op gebeurtenissen die zijn toegevoegd met behulp van geavanceerde opsporing

U kunt bekijken welke waarschuwingen zijn gegenereerd op basis van geavanceerde opsporing door de wachtrij Incidenten en de wachtrij Waarschuwingen te filteren op handmatige detectiebron.

Het handmatig filteren van de wachtrij incidenten en waarschuwingen op de pagina Filters in de Microsoft Defender-portal

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.