Propojení výstrah s jiným incidentem na portálu Microsoft Defender
I když Microsoft Defender už používá pokročilé mechanismy korelace, můžete se rozhodnout jinak, jestli daná výstraha patří ke konkrétnímu incidentu. V takovém případě můžete zrušit propojení výstrahy s jedním incidentem a propojit ho s jiným. Každá výstraha musí patřit k incidentu, takže ji musíte propojit buď s jiným existujícím incidentem, nebo s novým incidentem, který vytvoříte na místě.
Tento článek vysvětluje, jak zrušit propojení výstrah z jednoho incidentu a propojit je s jiným.
Požadavky
- Uživatelé musí mít oprávnění k zobrazení fronty incidentů.
- Uživatelé musí mít oprávnění ke čtení a zápisu u všech výstrah, které chtějí mezi incidenty přesouvat.
Přístup k panelu pro zrušení propojení upozornění
Na tento panel se můžete dostat mnoha způsoby. Můžete k němu přistupovat odkudkoli, kde můžete vybrat výstrahy nebo s ním provádět akce. Příklady:
V libovolném z následujících umístění vyberte jednu nebo více výstrah tím, že označíte zaškrtávací políčka na začátku jejich řádků. Když je jedna nebo více výstrah označených, zobrazí se na panelu nástrojů tlačítko Propojit výstrahy s jiným incidentem .
- Fronta incidentů . Rozbalením daného incidentu zobrazíte výstrahy, které obsahuje.
- Karta Výstrahy na stránce s podrobnostmi incidentu
- Fronta výstrah .
Na panelu podrobností na stránce s podrobnostmi výstrahy se také vždy zobrazí tlačítko Propojit výstrahy s jiným incidentem .
Vyberte výstrahu nebo výstrahy, které chcete odpojit.
Otevřete jedno z umístění uvedených v předchozí části.
Vyberte výstrahu nebo výstrahy, které chcete přesunout, zaškrtnutím políček na začátku jejich řádků ve frontě. Když je jedna nebo více výstrah označených, zobrazí se na panelu nástrojů tlačítko Propojit výstrahy s jiným incidentem .
Na panelu nástrojů vyberte Propojit výstrahy s jiným incidentem . Otevře se panel informačního rámečku. Pokud jste vybrali jenom jednu výstrahu, bude panel označený odkazem na jiný incident. Pokud jste vybrali dvě nebo více výstrah, má označení Propojit více výstrah s jiným incidentem. Ve všech ostatních ohledech je to stejný panel.
Pokud výstraha nebo výstrahy patří k jinému existujícímu incidentu, vyberte Propojit s existujícím incidentem. V opačném případě vyberte Vytvořit nový incident. Výstrahy musí patřit k incidentu.
Propojení výstrah nebo výstrah s existujícím incidentem
Pokud jste vybrali Možnost Propojit s existujícím incidentem, zobrazí se bezprostředně za výběrem nové textové pole Název nebo ID incidentu. Začněte psát název nebo ČÍSLO ID incidentu, se kterou chcete výstrahu nebo výstrahy propojit. Při psaní se seznam dostupných incidentů dynamicky zobrazuje a filtruje podle toho, co píšete. Až se v seznamu zobrazí požadované číslo, vyberte ho.
Do pole Komentář zadejte komentář s vysvětlením, proč chcete upozornění přesunout.
V dolní části panelu vyberte Uložit a proveďte přesun.
Propojení výstrah nebo upozornění na nový incident
Pokud jste vybrali možnost Vytvořit nový incident, stačí zadat komentář s vysvětlením, proč chcete upozornění přesunout.
V dolní části panelu vyberte Uložit a proveďte přesun.
Po dokončení procesu se vytvoří nový incident s upozorněním nebo výstrahami, které jste do něj přesunuli. Incident se automaticky pojmenuje na základě názvu výstrahy nebo výstrahy.
Protokol aktivit
Když je výstraha korelovaná s incidentem, zapíše se do protokolu aktivit incidentu zpráva, která potvrzuje, že s ním byla výstraha korelována. Tato zpráva je napsána za některého z následujících okolností:
- Vytvoří se výstraha, která se automaticky koreluje s novým nebo existujícím incidentem.
- Výstraha je odpojená od jednoho incidentu a propojená s jiným incidentem. Zpráva se zobrazí v protokolu cílového incidentu.