將查詢結果連結至事件
注意事項
想要體驗 Microsoft Defender 全面偵測回應 嗎? 深入瞭解如何評估和試驗 Microsoft Defender 全面偵測回應。
適用於:
- Microsoft Defender XDR
您可以使用事件功能的連結,將進階搜捕查詢結果新增至受調查的新事件或現有事件。 這項功能可協助您輕鬆地從進階搜捕活動中擷取記錄,讓您能夠建立更豐富的事件時程表或事件內容。
將結果連結至新的或現有的事件
在進階搜捕查詢頁面中,先在提供的查詢欄位中輸入您的查詢,然後選取 [ 執行查詢 ] 以取得結果。
![Microsoft Defender 入口網站中的 [查詢] 頁面](../../media/link-to-incident-1.png?view=o365-worldwide)
在 [結果] 頁面中,選取與您正在處理的新調查或目前調查相關的事件或記錄,然後選取 [鏈接至事件]。
![Microsoft Defender 入口網站中 [結果] 索引標籤的 [事件連結] 選項](../../media/link-to-incident-1b.png?view=o365-worldwide)
在 [事件連結] 窗格中尋找 [ 警示詳細數據 ] 區段,然後選取 [ 建立新事件 ] 以將事件轉換為警示,並將其分組為新事件:
![Microsoft Defender 入口網站中 [事件連結] 窗格中的 [警示詳細數據] 區段](../../media/link-to-incident-3-create-new.png?view=o365-worldwide)
或選 取 [鏈接至現有事件 ],將選取的記錄新增至現有的記錄。 從現有事件的下拉式清單中選擇相關事件。 您也可以輸入事件名稱或識別碼的前幾個字元來尋找現有的事件。
![Microsoft Defender 入口網站中的 [警示詳細數據] 區段](../../media/link-to-incident-3-link-to-existing.png?view=o365-worldwide)
針對任一選取專案,提供下列詳細數據,然後選取 [ 下一步]:
- 警示標題 - 提供事件回應者可瞭解之結果的描述性標題。 這個描述性標題會變成警示標題。
- 嚴重性 - 選擇適用於警示群組的嚴重性。
- 類別 - 選擇警示的適當威脅類別。
- 描述 - 提供群組警示的實用描述。
- 建議的動作 - 提供補救動作。
在 [ 受影響的實體] 區段中,選取主要受影響或受影響的實體。 本節只會顯示以查詢結果為基礎的適用實體。 在我們的範例中,我們使用查詢來尋找可能的電子郵件外流事件的相關事件,因此發件者是受影響的實體。 例如,如果有四個不同的發件者,則會建立四個警示,並連結至所選的事件。
![Microsoft Defender 入口網站中 [連結至事件] 區段中受影響的實體](../../media/link-to-incident-4-impacted-entities.png?view=o365-worldwide)
選取 [下一步]。
Review the details you've provided in the Summary section.
![Microsoft Defender 入口網站中 [事件連結] 區段中的結果頁面](../../media/link-to-incident-5-summary.png?view=o365-worldwide)
選取 [完成]。
![Microsoft Defender 入口網站中的 [查詢] 頁面](../../media/link-to-incident-1.png?view=o365-worldwide#lightbox)
![Microsoft Defender 入口網站中 [結果] 索引標籤的 [事件連結] 選項](../../media/link-to-incident-1b.png?view=o365-worldwide#lightbox)
![Microsoft Defender 入口網站中 [事件連結] 窗格中的 [警示詳細數據] 區段](../../media/link-to-incident-3-create-new.png?view=o365-worldwide#lightbox)
![Microsoft Defender 入口網站中的 [警示詳細數據] 區段](../../media/link-to-incident-3-link-to-existing.png?view=o365-worldwide#lightbox)
![Microsoft Defender 入口網站中 [連結至事件] 區段中受影響的實體](../../media/link-to-incident-4-impacted-entities.png?view=o365-worldwide#lightbox)
![Microsoft Defender 入口網站中 [事件連結] 區段中的結果頁面](../../media/link-to-incident-5-summary.png?view=o365-worldwide#lightbox)
檢視事件中的連結記錄
您可以選取事件名稱來檢視事件所連結的事件。
![Microsoft Defender 入口網站中 [摘要] 索引標籤中的事件詳細數據畫面](../../media/link-to-incident-6-incident-pg.png?view=o365-worldwide#lightbox)
在我們的範例中,代表四個選取事件的四個警示已成功連結至新的事件。
在每個警示頁面中,您可以在時間軸檢視中找到事件或事件的完整資訊, (如果有) 和查詢結果檢視。
![Microsoft Defender 入口網站中 [時程表] 索引標籤中事件的完整詳細數據](../../media/link-to-incident-7-alert-story.png?view=o365-worldwide#lightbox)
您也可以選取事件來開啟 [檢查記錄 ] 窗格。
![Microsoft Defender 入口網站中 [時程表] 索引標籤中事件的檢查記錄詳細數據](../../media/link-to-incident-7-inspect-record.png?view=o365-worldwide#lightbox)
篩選使用進階搜捕新增的事件
您可以依 手動 偵測來源篩選事件佇列和警示佇列,以檢視從進階搜捕產生的警示。
![在 Microsoft Defender 入口網站的 [篩選] 頁面中手動篩選事件和警示佇列](../../media/link-to-incident-8-filter.png?view=o365-worldwide#lightbox)
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應