Łączenie wyników zapytań ze zdarzeniami

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Możesz użyć funkcji linku do zdarzenia, aby dodać zaawansowane wyniki zapytania wyszukiwania zagrożeń do nowego lub istniejącego badanego incydentu. Ta funkcja ułatwia przechwytywanie rekordów z zaawansowanych działań wyszukiwania zagrożeń, co umożliwia tworzenie bogatszej osi czasu lub kontekstu zdarzeń dotyczących zdarzenia.

  1. Na stronie zaawansowanego zapytania wyszukiwania zagrożeń wprowadź zapytanie w podanym polu zapytania, a następnie wybierz pozycję Uruchom zapytanie , aby uzyskać wyniki.

    Strona Zapytanie w portalu Microsoft Defender

  2. Na stronie Wyniki wybierz zdarzenia lub rekordy związane z nowym lub bieżącym badaniem, nad którym pracujesz, a następnie wybierz pozycję Połącz z incydentem.

    Opcja Link do zdarzenia na karcie Wyniki w portalu Microsoft Defender

  3. Znajdź sekcję Szczegóły alertu w okienku Link do zdarzenia, a następnie wybierz pozycję Twórca nowego zdarzenia, aby przekonwertować zdarzenia na alerty i pogrupować je na nowe zdarzenie:

    Sekcja Szczegóły alertu w okienku Link do zdarzenia w portalu Microsoft Defender

    Możesz też wybrać pozycję Połącz z istniejącym zdarzeniem , aby dodać wybrane rekordy do istniejącego. Wybierz powiązane zdarzenie z listy rozwijanej istniejących zdarzeń. Możesz również wprowadzić kilka pierwszych znaków nazwy zdarzenia lub identyfikatora, aby znaleźć istniejące zdarzenie.

    Sekcja Szczegóły alertu w portalu Microsoft Defender

  4. W przypadku dowolnego zaznaczenia podaj następujące szczegóły, a następnie wybierz pozycję Dalej:

    • Tytuł alertu — podaj opisowy tytuł wyników, które mogą zrozumieć użytkownicy reagujący na zdarzenia. Ten opisowy tytuł staje się tytułem alertu.
    • Ważność — wybierz ważność mającą zastosowanie do grupy alertów.
    • Kategoria — wybierz odpowiednią kategorię zagrożeń dla alertów.
    • Opis — podaj przydatny opis zgrupowanych alertów.
    • Zalecane akcje — podaj akcje korygowania.

  5. W sekcji Jednostki, których dotyczy problem , wybierz główną jednostkę, których dotyczy problem lub którego dotyczy problem. W tej sekcji są wyświetlane tylko odpowiednie jednostki oparte na wynikach zapytania. W naszym przykładzie użyliśmy zapytania w celu znalezienia zdarzeń związanych z możliwym zdarzeniem eksfiltracji wiadomości e-mail, dlatego nadawca jest jednostką, której dotyczy problem. Jeśli na przykład istnieją czterech różnych nadawców, cztery alerty są tworzone i połączone z wybranym incydentem.

    Jednostka, na która ma wpływ, w sekcji Link to incident (Link do zdarzenia) w portalu Microsoft Defender

  6. Wybierz pozycję Dalej.

  7. Przejrzyj szczegóły podane w sekcji Podsumowanie . Strona wyników w sekcji Łącze do zdarzenia w portalu Microsoft Defender

  8. Wybierz pozycję Gotowe.

Wyświetlanie połączonych rekordów w zdarzeniu

Możesz wybrać nazwę zdarzenia, aby wyświetlić zdarzenie, z którą są połączone zdarzenia. Ekran szczegółów zdarzenia na karcie Podsumowanie w portalu Microsoft Defender

W naszym przykładzie cztery alerty reprezentujące cztery wybrane zdarzenia zostały pomyślnie połączone z nowym incydentem.

Na każdej ze stron alertów możesz znaleźć pełne informacje o zdarzeniu lub zdarzeniach w widoku osi czasu (jeśli jest dostępny) i widoku wyników zapytania. Pełne szczegóły zdarzenia na karcie Oś czasu w portalu Microsoft Defender

Możesz również wybrać zdarzenie, aby otworzyć okienko Inspekcja rekordu . Szczegóły rekordu inspekcji zdarzenia na karcie Oś czasu w portalu Microsoft Defender

Filtrowanie zdarzeń dodanych przy użyciu zaawansowanego wyszukiwania zagrożeń

Możesz sprawdzić, które alerty zostały wygenerowane na podstawie zaawansowanego wyszukiwania zagrożeń, filtrując kolejkę zdarzeń i alerty według źródła wykrywania ręcznego .

Ręczne filtrowanie kolejki zdarzeń i alertów na stronie Filtry w portalu Microsoft Defender

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.