Länka frågeresultat till en incident
Gäller för:
- Microsoft Defender XDR
Du kan använda länken till incidentfunktionen för att lägga till avancerade jaktfrågeresultat till en ny eller befintlig incident som undersöks. Den här funktionen hjälper dig att enkelt samla in poster från avancerade jaktaktiviteter, vilket gör att du kan skapa en mer omfattande tidslinje eller kontext för händelser som rör en incident.
Länka resultat till nya eller befintliga incidenter
På sidan avancerad jaktfråga anger du först frågan i det angivna frågefältet och väljer Sedan Kör fråga för att hämta resultatet.
På sidan Resultat väljer du de händelser eller poster som är relaterade till en ny eller aktuell undersökning som du arbetar med och väljer sedan Länka till incident.
Leta upp avsnittet Aviseringsinformation i fönstret Länka till incident och välj sedan Skapa ny incident för att konvertera händelserna till aviseringar och gruppera dem till en ny incident:
Eller välj Länka till en befintlig incident för att lägga till de markerade posterna i en befintlig. Välj den relaterade incidenten i listrutan över befintliga incidenter. Du kan också ange de första tecknen i incidentnamnet eller ID:t för att hitta den befintliga incidenten.
Ange följande information för endera markering och välj sedan Nästa:
- Aviseringsrubrik – ange en beskrivande rubrik för de resultat som incidenthanteringspersonalen kan förstå. Den här beskrivande rubriken blir aviseringsrubriken.
- Allvarlighetsgrad – Välj den allvarlighetsgrad som ska tillämpas på gruppen av aviseringar.
- Kategori – Välj lämplig hotkategori för aviseringarna.
- Beskrivning – Ge en användbar beskrivning av de grupperade aviseringarna.
- Rekommenderade åtgärder – Tillhandahålla reparationsåtgärder.
I avsnittet Påverkade entiteter väljer du den viktigaste berörda eller påverkade entiteten. Endast tillämpliga entiteter baserat på frågeresultaten visas i det här avsnittet. I vårt exempel använde vi en fråga för att hitta händelser relaterade till en eventuell e-postexfiltreringsincident, och därför är avsändaren den påverkade entiteten. Om det finns fyra olika avsändare skapas till exempel fyra aviseringar och länkas till den valda incidenten.
Välj Nästa.
Granska informationen som du har angett i avsnittet Sammanfattning .
Välj Klar.
Visa länkade poster i incidenten
Du kan välja incidentnamnet för att visa incidenten som händelserna är länkade till.
I vårt exempel länkades de fyra aviseringarna, som representerar de fyra valda händelserna, till en ny incident.
På var och en av aviseringssidorna hittar du fullständig information om händelsen eller händelserna i tidslinjevyn (om tillgängligt) och frågeresultatvyn.
Du kan också välja händelsen för att öppna fönstret Inspektera post .
Filtrera efter händelser som lagts till med avancerad jakt
Du kan visa vilka aviseringar som genererades från avancerad jakt genom att filtrera kön Incidenter och Aviseringar efter manuell identifieringskälla.
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.