Aracılığıyla paylaş

Sorgu sonuçlarını bir olayla bağlayın

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

Araştırma aşamasındaki yeni veya mevcut bir olaya gelişmiş tehdit avcılığı sorgusu sonuçları eklemek için olay bağlantısını kullanabilirsiniz. Bu özellik, gelişmiş tehdit avcılığı etkinliklerindeki kayıtları kolayca yakalamanıza yardımcı olur ve bu sayede bir olayla ilgili daha zengin bir zaman çizelgesi veya olay bağlamı oluşturabilirsiniz.

  1. Gelişmiş tehdit avcılığı sorgusu sayfasında, önce sorgunuzu sağlanan sorgu alanına girin, ardından sonuçlarınızı almak için Sorguyu çalıştır'ı seçin.

    Microsoft Defender portalındaki Sorgu sayfası

  2. Sonuçlar sayfasında, üzerinde çalıştığınız yeni veya geçerli araştırmayla ilgili olayları veya kayıtları seçin, ardından Olaya bağla'yı seçin.

    Microsoft Defender portalındaki Sonuçlar sekmesinin Olaya bağlan seçeneği

  3. Olay bağlantısı bölmesinde Uyarı ayrıntıları bölümünü bulun, ardından Yeni olay oluştur'u seçerek olayları uyarılara dönüştürün ve bunları yeni bir olaya gruplandırın:

    Microsoft Defender portalındaki Olaya bağla bölmesindeki Uyarı ayrıntıları bölümü

    Alternatif olarak, seçilen kayıtları var olan bir olaya eklemek için Var olan bir olaya bağla'ya da tıklayabilirsiniz. Mevcut olayların açılan listesinden ilgili olayı seçin. Mevcut olayı bulmak için olay adının veya kimliğin ilk birkaç karakterini de girebilirsiniz.

    Microsoft Defender portalındaki Uyarı ayrıntıları bölümü

  4. Her iki seçim için de aşağıdaki ayrıntıları sağlayın ve İleri'yi seçin:

    • Uyarı başlığı - Olay yanıtlayıcılarınızın anlayabileceği sonuçlar için açıklayıcı bir başlık sağlayın. Bu açıklayıcı başlık, uyarı başlığı olur.
    • Önem Derecesi - Uyarı grubu için geçerli olan önem derecesini seçin.
    • Kategori - Uyarılar için uygun tehdit kategorisini seçin.
    • Açıklama - Gruplandırılmış uyarılar için yararlı bir açıklama verin.
    • Önerilen eylemler - Düzeltme eylemleri sağlayın.

  5. Etkilenen varlıklar bölümünde, etkilenen veya etkilenen ana varlığı seçin. Bu bölümde yalnızca sorgu sonuçlarını temel alan geçerli varlıklar görüntülenir. Örneğimizde, olası bir e-posta sızdırma olayıyla ilgili olayları bulmak için bir sorgu kullandık, bu nedenle Gönderen etkilenen varlıktır. Örneğin dört farklı gönderen varsa, dört uyarı oluşturulur ve seçilen olaya bağlanır.

    Microsoft Defender portalındaki Olaya bağlan bölümündeki etkilenen varlık

  6. İleri'yi seçin.

  7. Özet bölümünde sağladığınız ayrıntıları gözden geçirin. Microsoft Defender portalındaki Olaya bağlan bölümündeki sonuçlar sayfası

  8. Bitti'yi seçin.

Olaydaki bağlantılı kayıtları görüntüleme

Olayların bağlı olduğu olayı görüntülemek için olay adını seçebilirsiniz. Microsoft Defender portalındaki Özet sekmesindeki olay ayrıntıları ekranı

Örneğimizde, seçilen dört olayı temsil eden dört uyarı yeni bir olaya başarıyla bağlandı.

Uyarı sayfalarının her birinde, olay veya olaylar hakkındaki tüm bilgileri zaman çizelgesi görünümünde (varsa) ve sorgu sonuçları görünümünde bulabilirsiniz. Microsoft Defender portalındaki Zaman Çizelgesi sekmesindeki bir olayın tüm ayrıntıları

Kaydı incele bölmesini açmak için olayı da seçebilirsiniz. Microsoft Defender portalındaki Zaman Çizelgesi sekmesindeki bir olayın kayıt ayrıntılarını inceleme

Gelişmiş avcılık kullanılarak eklenen olaylar için filtre uygulama

Olaylar kuyruğunu ve Uyarılar kuyruğunu El ile algılama kaynağına göre filtreleyerek gelişmiş tehdit avcılığından hangi uyarıların oluşturulduğunu görüntüleyebilirsiniz.

Microsoft Defender portalındaki Filtreler sayfasında Olaylar ve Uyarılar kuyruğunun el ile filtrelenmesi

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.