Del via

Sammenkæd forespørgselsresultater med en hændelse

  • Artikel

Gælder for:

  • Microsoft Defender XDR

Du kan bruge funktionen link til hændelse til at føje avancerede resultater af jagtforespørgslen til en ny eller eksisterende hændelse, der undersøges. Denne funktion hjælper dig med nemt at registrere poster fra avancerede jagtaktiviteter, hvilket giver dig mulighed for at oprette en mere detaljeret tidslinje eller kontekst for hændelser vedrørende en hændelse.

  1. På siden med avanceret jagtforespørgsel skal du først angive din forespørgsel i det angivne forespørgselsfelt og derefter vælge Kør forespørgsel for at få dine resultater.

    Skærmbillede af siden avanceret jagt på portalen Microsoft Defender.

  2. På siden Resultater skal du vælge de hændelser eller poster, der er relateret til en ny eller aktuel undersøgelse, du arbejder på, og derefter vælge Link til hændelse.

    Skærmbillede af linket til hændelsesfunktionen i avanceret jagt på Microsoft Defender-portalen.

  3. Find afsnittet Beskedoplysninger i ruden Link til hændelse, og vælg derefter Opret ny hændelse for at konvertere hændelserne til beskeder, og gruppér dem til en ny hændelse:

    Eller vælg Link til en eksisterende hændelse for at føje de valgte poster til en eksisterende. Vælg den relaterede hændelse på rullelisten over eksisterende hændelser. Du kan også angive de første par tegn i hændelsesnavnet eller id'et for at finde den eksisterende hændelse.

    Skærmbillede af de indstillinger, der er tilgængelige i gemte forespørgsler på portalen Microsoft Defender.

  4. For begge valg skal du angive følgende oplysninger og derefter vælge Næste:

    • Beskedtitel – Angiv en beskrivende titel på de resultater, som svar på dine hændelser kan forstå. Denne beskrivende titel bliver beskedens titel.
    • Alvorsgrad – Vælg den alvorsgrad, der skal anvendes på gruppen af beskeder.
    • Category – Vælg den relevante trusselskategori for beskederne.
    • Beskrivelse – Giv en nyttig beskrivelse af de grupperede beskeder.
    • Anbefalede handlinger – Angiv afhjælpningshandlinger.

  5. I afsnittet Enheder kan du finde ud af, hvilke enheder der bruges til at korrelere andre beskeder om den sammenkædede hændelse. De vises også på hændelsessiden. Du kan gennemse de forudmarkerede enheder, der er kategoriseret på følgende måde:

    a. Påvirkede aktiver – aktiver, der påvirkes af de valgte hændelser, kan være:

    • Konto
    • Enhed
    • Postkasse
    • Cloudprogram
    • Azure-ressource
    • Amazon Web Services-ressource
    • Google Cloud Platform-ressource

    b. Relaterede beviser – ikke-aktiver, der vises i de valgte hændelser. De understøttede objekttyper er:

    • Proces
    • Filer
    • Registreringsdatabaseværdi
    • IP
    • OAuth-program
    • DNS
    • Sikkerhedsgruppe
    • URL-adresse
    • Mailklynge
    • Postmeddelelse

  6. Når en objekttype er valgt, skal du vælge en id-type, der findes i de valgte poster, så den kan bruges til at identificere denne enhed. Hver objekttype har en liste over understøttede identifikatorer, som det kan ses på den relevante rulleliste. Læs beskrivelsen, der vises, når du holder markøren over hvert id, for bedre at forstå den.

  7. Når du har valgt id'et, skal du vælge en kolonne fra de forespørgselsresultater, der indeholder det valgte id. Du kan vælge Udforsk forespørgsel og resultater for at åbne det avancerede panel for jagtkontekst. Dette giver dig mulighed for at udforske din forespørgsel og dine resultater for at sikre, at du vælger den højre kolonne for det valgte id.
    Skærmbillede af forgreningen med link til hændelsesguideenheder på Microsoft Defender portalen.
    I vores eksempel brugte vi en forespørgsel til at finde hændelser, der er relateret til en mulig mailudfiltreringshændelse. Derfor er modtagerens postkasse og modtagers konto de påvirkede enheder, og afsenderens IP samt mail er relaterede beviser.

    Skærmbillede af linket til den komplette forgrening af hændelsesguiden på Microsoft Defender-portalen.

    Der oprettes en anden besked for hver post med en entydig kombination af påvirkede objekter. Hvis der f.eks. er tre forskellige modtagerpostkasser og kombinationer af modtagerobjekt-id i vores eksempel, oprettes der tre beskeder, som er knyttet til den valgte hændelse.

  8. Vælg Næste.

  9. Gennemse de oplysninger, du har angivet i afsnittet Oversigt.

  10. Vælg Udført.

Få vist sammenkædede poster i hændelsen

Du kan vælge det genererede link i oversigtstrinnet i guiden eller vælge hændelsesnavnet fra hændelseskøen for at få vist den hændelse, som hændelserne er sammenkædet med.

Skærmbillede af oversigtstrinnet i linket til hændelsesguiden på Microsoft Defender portal.

I vores eksempel blev de tre beskeder, der repræsenterer de tre valgte hændelser, kædet sammen med en ny hændelse. På hver af beskedsiderne kan du finde de komplette oplysninger om hændelsen eller hændelserne i tidslinjevisning (hvis den er tilgængelig) og visningen med forespørgselsresultater.

Du kan også vælge hændelsen i tidslinjevisningen eller i visningen med forespørgselsresultater for at åbne ruden Undersøg post .

Skærmbillede af hændelsessiden på Microsoft Defender-portalen.

Filtrer efter begivenheder, der er tilføjet ved hjælp af avanceret jagt

Du kan få vist, hvilke beskeder der blev genereret fra avanceret jagt, ved at filtrere hændelser og beskeder efter kilden til manuel registrering.

Skærmbillede af rullemenuen til filtrering i avanceret jagt på Microsoft Defender-portalen.