Dela via

Länka frågeresultat till en incident

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Du kan använda länken till incidentfunktionen för att lägga till avancerade jaktfrågeresultat till en ny eller befintlig incident som undersöks. Den här funktionen hjälper dig att enkelt samla in poster från avancerade jaktaktiviteter, vilket gör att du kan skapa en mer omfattande tidslinje eller kontext för händelser som rör en incident.

  1. På sidan avancerad jaktfråga anger du först frågan i det angivna frågefältet och väljer Sedan Kör fråga för att hämta resultatet.

    Sidan Fråga i Microsoft Defender-portalen

  2. På sidan Resultat väljer du de händelser eller poster som är relaterade till en ny eller aktuell undersökning som du arbetar med och väljer sedan Länka till incident.

    Alternativet Länka till incident på fliken Resultat i Microsoft Defender-portalen

  3. Leta upp avsnittet Aviseringsinformation i fönstret Länka till incident och välj sedan Skapa ny incident för att konvertera händelserna till aviseringar och gruppera dem till en ny incident:

    Avsnittet Aviseringsinformation i fönstret Länka till incident i Microsoft Defender-portalen

    Eller välj Länka till en befintlig incident för att lägga till de markerade posterna i en befintlig. Välj den relaterade incidenten i listrutan över befintliga incidenter. Du kan också ange de första tecknen i incidentnamnet eller ID:t för att hitta den befintliga incidenten.

    Avsnittet Aviseringsinformation i Microsoft Defender-portalen

  4. Ange följande information för endera markering och välj sedan Nästa:

    • Aviseringsrubrik – ange en beskrivande rubrik för de resultat som incidenthanteringspersonalen kan förstå. Den här beskrivande rubriken blir aviseringsrubriken.
    • Allvarlighetsgrad – Välj den allvarlighetsgrad som ska tillämpas på gruppen av aviseringar.
    • Kategori – Välj lämplig hotkategori för aviseringarna.
    • Beskrivning – Ge en användbar beskrivning av de grupperade aviseringarna.
    • Rekommenderade åtgärder – Tillhandahålla reparationsåtgärder.

  5. I avsnittet Påverkade entiteter väljer du den viktigaste berörda eller påverkade entiteten. Endast tillämpliga entiteter baserat på frågeresultaten visas i det här avsnittet. I vårt exempel använde vi en fråga för att hitta händelser relaterade till en eventuell e-postexfiltreringsincident, och därför är avsändaren den påverkade entiteten. Om det finns fyra olika avsändare skapas till exempel fyra aviseringar och länkas till den valda incidenten.

    Den påverkade entiteten i avsnittet Länka till incident i Microsoft Defender-portalen

  6. Välj Nästa.

  7. Granska informationen som du har angett i avsnittet Sammanfattning . Resultatsidan i avsnittet Länka till incident i Microsoft Defender-portalen

  8. Välj Klar.

Visa länkade poster i incidenten

Du kan välja incidentnamnet för att visa incidenten som händelserna är länkade till. Skärmen händelseinformation på fliken Sammanfattning i Microsoft Defender-portalen

I vårt exempel länkades de fyra aviseringarna, som representerar de fyra valda händelserna, till en ny incident.

På var och en av aviseringssidorna hittar du fullständig information om händelsen eller händelserna i tidslinjevyn (om tillgängligt) och frågeresultatvyn. Fullständig information om en händelse på fliken Tidslinje i Microsoft Defender-portalen

Du kan också välja händelsen för att öppna fönstret Inspektera post . Granska postinformationen för en händelse på fliken Tidslinje i Microsoft Defender-portalen

Filtrera efter händelser som lagts till med avancerad jakt

Du kan visa vilka aviseringar som genererades från avancerad jakt genom att filtrera kön Incidenter och Aviseringar efter manuell identifieringskälla.

Manuell filtrering av kön Incidenter och aviseringar på sidan Filter i Microsoft Defender-portalen

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.