Поделиться через

Связывание результатов запроса с инцидентом

  • Статья

Область применения:

  • Microsoft Defender XDR

Вы можете использовать ссылку на функцию инцидента, чтобы добавить расширенные результаты запросов охоты на новый или существующий исследуемый инцидент. Эта функция позволяет легко записывать записи из расширенных действий по охоте, что позволяет создавать более широкие временная шкала или контекст событий, касающихся инцидента.

  1. На странице расширенного запроса охоты сначала введите запрос в поле запроса, а затем выберите Выполнить запрос , чтобы получить результаты.

    Страница

  2. На странице Результаты выберите события или записи, связанные с новым или текущим исследованием, над которым вы работаете, а затем щелкните Связать с инцидентом.

    Параметр Ссылка на инцидент на вкладке Результаты на портале Microsoft Defender

  3. Найдите раздел Сведения об оповещении в области Ссылка на инцидент, а затем выберите Создать новый инцидент , чтобы преобразовать события в оповещения и сгруппировать их в новый инцидент:

    Раздел

    Или выберите Ссылку на существующий инцидент , чтобы добавить выбранные записи в существующий инцидент. Выберите связанный инцидент из раскрывающегося списка существующих инцидентов. Вы также можете ввести первые несколько символов имени инцидента или идентификатора, чтобы найти существующий инцидент.

    Раздел

  4. Для любого выбора укажите следующие сведения, а затем нажмите кнопку Далее:

    • Заголовок оповещения — укажите описательное название для результатов, которые могут понять ваши специалисты по реагированию на инциденты. Это описательное название становится заголовком оповещения.
    • Серьезность . Выберите уровень серьезности, применимый к группе оповещений.
    • Категория — выберите соответствующую категорию угроз для оповещений.
    • Описание — дайте полезное описание сгруппированных оповещений.
    • Рекомендуемые действия . Предоставьте действия по исправлению.

  5. В разделе Затронутые сущности выберите main затронутую или затронутую сущность. В этом разделе отображаются только применимые сущности, основанные на результатах запроса. В нашем примере мы использовали запрос для поиска событий, связанных с возможным инцидентом кражи электронной почты, поэтому отправитель является затронутой сущностью. Например, если есть четыре разных отправителя, создаются четыре оповещения, которые связываются с выбранным инцидентом.

    Затронутая сущность в разделе Ссылка на инцидент на портале Microsoft Defender

  6. Нажмите кнопку Далее.

  7. Просмотрите сведения, указанные в разделе Сводка . Страница результатов в разделе Ссылка на инцидент на портале Microsoft Defender

  8. Нажмите кнопку Готово.

Просмотр связанных записей в инциденте

Вы можете выбрать имя инцидента, чтобы просмотреть инцидент, с которым связаны события. Экран сведений о событии на вкладке Сводка на портале Microsoft Defender

В нашем примере четыре оповещения, представляющие четыре выбранных события, успешно связаны с новым инцидентом.

На каждой из страниц оповещений можно найти полную информацию о событии или событиях в представлении временная шкала (если доступно) и представлении результатов запроса. Полные сведения о событии на вкладке Временная шкала на портале Microsoft Defender

Вы также можете выбрать событие, чтобы открыть панель Проверка записи . Проверка сведений о событии на вкладке Временная шкала на портале Microsoft Defender

Фильтр событий, добавленных с помощью расширенной охоты

Вы можете просмотреть, какие оповещения были созданы при расширенном поиске, отфильтровав очередь инцидентов и очередь оповещений по источнику обнаружения вручную .

Фильтрация очереди инцидентов и оповещений вручную на странице

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.