Udostępnij za pośrednictwem


Przenoszenie alertów z jednego incydentu do innego w portalu Microsoft Defender

Chociaż Microsoft Defender już używa zaawansowanych mechanizmów korelacji, możesz zdecydować inaczej, czy dany alert należy do określonego zdarzenia, czy nie. W takim przypadku można odłączyć alert od jednego zdarzenia i dołączyć go do innego. Każdy alert musi należeć do zdarzenia, dlatego należy dołączyć alert do innego istniejącego zdarzenia lub do nowego incydentu utworzonego na miejscu.

W tym artykule wyjaśniono, jak przenosić alerty z jednego zdarzenia do innego.

Wymagania wstępne

  • Użytkownicy muszą mieć uprawnienia do wyświetlania kolejki zdarzeń.
  • Użytkownicy muszą mieć uprawnienia do odczytu i zapisu dla wszystkich alertów, które chcą przenosić między zdarzeniami.

Uzyskiwanie dostępu do panelu w celu przenoszenia alertów

Istnieje wiele sposobów, aby dostać się do tego panelu. Możesz uzyskać do niego dostęp z dowolnego miejsca, w których możesz wybrać alerty lub podjąć działania w przypadku alertów. Przykład:

W dowolnej z następujących lokalizacji wybierz co najmniej jeden alert, zaznaczając pola wyboru na początku wierszy. Po oznaczeniu co najmniej jednego alertu na pasku narzędzi zostanie wyświetlony przycisk Przenieś alerty do innego zdarzenia .

  • Kolejka Zdarzenia . Rozwiń dany incydent, aby wyświetlić alerty, które zawiera.
  • Karta Alerty na stronie szczegółów zdarzenia.
  • Kolejka alertów .

Ponadto na panelu szczegółów na stronie szczegółów alertu zawsze pojawia się przycisk Przenieś alert do innego zdarzenia .

Wybierz alert lub alerty do przeniesienia

  1. Otwórz jedną z lokalizacji wymienionych w poprzedniej sekcji.

  2. Wybierz alert lub alerty, które chcesz przenieść, zaznaczając pola wyboru na początku wierszy w kolejce. Po oznaczeniu co najmniej jednego alertu na pasku narzędzi zostanie wyświetlony przycisk Przenieś alerty do innego zdarzenia .

    Zrzut ekranu przedstawiający wybieranie alertów z kolejki w celu przejścia do innego zdarzenia.

  3. Wybierz pozycję Przenieś alerty do innego zdarzenia z paska narzędzi. Zostanie otwarty panel wysuwany. Jeśli wybrano tylko jeden alert, panel ma etykietę Przenieś alert do innego zdarzenia. Jeśli wybrano co najmniej dwa alerty, ma ono etykietę Przenieś wiele alertów do innego zdarzenia. We wszystkich innych aspektach jest to ten sam panel.

  4. Jeśli alert lub alerty należą do innego istniejącego zdarzenia, wybierz pozycję Połącz z istniejącym incydentem. W przeciwnym razie wybierz pozycję Utwórz nowe zdarzenie. Alerty muszą należeć do zdarzenia.

Przenoszenie alertów lub alertów do istniejącego incydentu

  1. Jeśli wybrano pozycję Połącz z istniejącym zdarzeniem, po zaznaczeniu zostanie wyświetlone nowe pole tekstowe, nazwa zdarzenia lub identyfikator. Zacznij wpisywać nazwę lub numer identyfikatora zdarzenia, do którego chcesz dołączyć alert lub alerty. Podczas wpisywania lista dostępnych zdarzeń jest dynamicznie wyświetlana i filtrowana według typu. Gdy na liście zostanie wyświetlony odpowiedni element, wybierz go.

    Zrzut ekranu przedstawiający wybieranie istniejącego incydentu do przeniesienia alertu.

  2. W polu Komentarz wpisz komentarz wyjaśniający, dlaczego chcesz przenieść alerty.

    Zrzut ekranu przedstawiający dodawanie komentarza wyjaśniającego przyczynę przeniesienia alertu.

  3. Wybierz pozycję Zapisz w dolnej części panelu, aby wykonać przeniesienie.

Przenoszenie alertów lub alertów do nowego incydentu

  1. Jeśli wybrano pozycję Utwórz nowe zdarzenie, wystarczy wprowadzić komentarz wyjaśniający, dlaczego chcesz przenieść alerty.

  2. Wybierz pozycję Zapisz w dolnej części panelu, aby wykonać przeniesienie.

    Zrzut ekranu przedstawiający wybieranie nowego incydentu do przeniesienia alertu.

    Po zakończeniu procesu zostanie utworzone nowe zdarzenie z alertem lub alertami, które zostały do niego przeniesione. Zdarzenie otrzymuje nazwę automatycznie na podstawie nazwy alertu lub alertów.

Dziennik aktywności

Gdy alert jest skorelowany ze zdarzeniem, komunikat jest zapisywany w dzienniku aktywności zdarzenia, co potwierdza, że alert został z nim skorelowany. Ta wiadomość jest napisana w jednej z następujących okoliczności:

  • Alert jest tworzony i automatycznie skorelowany z nowym lub istniejącym zdarzeniem.
  • Alert jest przenoszony z jednego zdarzenia do drugiego. Komunikat zostanie wyświetlony w dzienniku zdarzenia docelowego.

Zobacz też