Linkbeskeder til en anden hændelse på Microsoft Defender-portalen
Selvom Microsoft Defender allerede bruger avancerede korrelationsmekanismer, kan det være en god idé at beslutte, om en bestemt besked tilhører en bestemt hændelse eller ej. I så fald kan du fjerne sammenkædningen af en besked fra én hændelse og knytte den til en anden. Alle beskeder skal tilhøre en hændelse, så du skal knytte beskeden til enten en anden eksisterende hændelse eller til en ny hændelse, som du opretter på stedet.
I denne artikel forklares det, hvordan du fjerner sammenkædningen af beskeder fra én hændelse og sammenkæder dem med en anden.
Forudsætninger
- Brugerne skal have tilladelse til at få vist hændelseskøen.
- Brugerne skal have læse- og skrivetilladelser til alle de beskeder, de vil flytte mellem hændelser.
Få adgang til panelet for at fjerne sammenkædningen af beskeder
Der er mange måder at komme til dette panel på. Du kan få adgang til den overalt, hvor du kan vælge eller udføre handlinger på beskeder. Det kan f.eks. være:
På en af følgende placeringer skal du vælge en eller flere beskeder ved at markere afkrydsningsfelterne i begyndelsen af deres rækker. Når en eller flere beskeder er markeret, vises knappen Link beskeder til en anden hændelse på værktøjslinjen.
- Hændelseskøen. Udvid en given hændelse for at få vist de beskeder, den indeholder.
- Fanen Beskeder på siden med oplysninger om hændelser.
- Køen Beskeder .
Desuden vises knappen Linkbeskeder til en anden hændelse altid på detaljepanelet på siden med beskedoplysninger.
Vælg den eller de beskeder, der skal ophæves sammenkædningen
Åbn en af de placeringer, der er nævnt i det forrige afsnit.
Vælg den eller de beskeder, du vil flytte, ved at markere afkrydsningsfelterne i starten af deres rækker i køen. Når en eller flere beskeder er markeret, vises knappen Link beskeder til en anden hændelse på værktøjslinjen.
Vælg Linkbeskeder til en anden hændelse på værktøjslinjen. Der åbnes et pop op-panel. Hvis du kun har valgt én besked, får panelet mærkaten Linkbesked til en anden hændelse. Hvis du har valgt to eller flere beskeder, hedder det Link flere beskeder til en anden hændelse. I alle andre henseender er det det samme panel.
Hvis beskeden eller beskederne tilhører en anden eksisterende hændelse, skal du vælge Link til en eksisterende hændelse. Ellers skal du vælge Opret en ny hændelse. Beskeder skal tilhøre en hændelse.
Linkbeskeder eller beskeder til en eksisterende hændelse
Hvis du har valgt Link til en eksisterende hændelse, vises et nyt tekstfelt, Hændelsesnavn eller id umiddelbart efter valget. Begynd at skrive navnet eller id-nummeret på den hændelse, du vil knytte beskeden eller beskederne til. Når du skriver, vises og filtreres listen over tilgængelige hændelser dynamisk efter det, du skriver. Når du ser det ønskede på listen, skal du vælge det.
Skriv en kommentar i feltet Kommentar , der forklarer, hvorfor du vil flytte beskederne.
Vælg Gem nederst i panelet for at udføre flytningen.
Linkbeskeder eller beskeder til en ny hændelse
Hvis du har valgt Opret en ny hændelse, skal du bare angive en kommentar, der forklarer, hvorfor du vil flytte beskederne.
Vælg Gem nederst i panelet for at udføre flytningen.
Når processen er fuldført, oprettes der en ny hændelse med den eller de beskeder, du har flyttet til den. Hændelsen får automatisk et navn baseret på navnet på beskeden eller beskederne.
Aktivitetslog
Når en besked er korreleret med en hændelse, skrives der en meddelelse til hændelsens aktivitetslog, der bekræfter, at beskeden var korreleret med den. Denne meddelelse er skrevet i en af følgende situationer:
- Der oprettes en besked, som automatisk korreleres med en ny eller eksisterende hændelse.
- En besked fjernes fra sammenkædningen af én hændelse og sammenkædes med en anden. Meddelelsen vises i logfilen for destinationshændelsen.