Jaa

Kyselyn tulosten linkittäminen tapaukseen

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR

Voit lisätä kehittyneen metsästyskyselyn tulokset uuteen tai olemassa olevaan tutkittavaan tapahtumaan tapauslinkin avulla. Tämän ominaisuuden avulla voit helposti tallentaa tietoja kehittyneestä metsästystoiminnasta, jonka avulla voit luoda monipuolisemman aikajanan tai tapahtuman kontekstin tapahtumaan liittyen.

  1. Kirjoita kehittyneen metsästyksen kyselysivulle ensin kyselysi annettuun kyselykenttään ja valitse sitten Suorita kysely saadaksesi tuloksesi.

    Näyttökuva Microsoft Defender portaalin kehittyneestä metsästyssivusta.

  2. Valitse Tulokset-sivulla tapahtumat tai tietueet, jotka liittyvät uuteen tai nykyiseen tutkimukseen, jota käsittelet, ja valitse sitten Linkitä tapahtumaan.

    Näyttökuva kehittyneen metsästyksen tapahtumaominaisuuden linkistä Microsoft Defender portaalissa.

  3. Etsi Ilmoitustiedot-osa Linkki tapahtumaan -ruudusta ja valitse sitten Luo uusi tapaus , jotta tapahtumat muunnetaan hälytyksiksi ja ryhmittele ne uudeksi tapahtumaksi:

    Voit myös lisätä valitut tietueet aiemmin luotuun tapahtumaan valitsemalla Linkitä olemassa olevaan tapaukseen . Valitse aiheeseen liittyvä tapaus olemassa olevien tapausten avattavasta luettelosta. Voit myös kirjoittaa tapahtuman nimen tai tunnuksen ensimmäiset merkit olemassa olevan tapauksen löytämiseksi.

    Näyttökuva asetuksista, jotka ovat käytettävissä tallennetuissa kyselyissä Microsoft Defender portaalissa.

  4. Anna jompaakumpaa valintaa varten seuraavat tiedot ja valitse sitten Seuraava:

    • Ilmoituksen otsikko : Anna kuvaava otsikko tuloksille, jotka tapahtuman vastaajat voivat ymmärtää. Tästä kuvaavasta otsikosta tulee ilmoituksen otsikko.
    • Vakavuus – Valitse ilmoitusten ryhmään sovellettava vakavuus.
    • Luokka – Valitse hälytyksille asianmukainen uhkaluokka.
    • Description – Anna hyödyllinen kuvaus ryhmitetyille ilmoituksille.
    • Suositellut toiminnot – Tarjoa korjaustoimintoja.

  5. Entiteetit-osiossa voit selvittää, mitä entiteettejä käytetään korreloimaan muita ilmoituksia linkitettyyn tapahtumaan. Ne näkyvät myös tapaussivulla. Voit tarkastella esimerkillisiä entiteettejä, jotka on luokiteltu seuraavasti:

    a. Vaikutusresursseista – Valitut tapahtumat vaikuttavat varoihin seuraavasti:

    • Tili
    • Laite
    • Postilaatikko
    • Pilvisovellus
    • Azure-resurssi
    • Amazon Web Services -resurssi
    • Google Cloud Platform -resurssi

    b. Liittyvä näyttö – Ei-varat, jotka näkyvät valituissa tapahtumissa. Tuettuja entiteettityyppejä ovat seuraavat:

    • Prosessi
    • Tiedosto
    • Rekisteriarvoa
    • IP
    • OAuth-sovellus
    • DNS
    • Käyttöoikeusryhmä
    • URL
    • Postiklusteri
    • Sähköpostiviesti

  6. Kun entiteettityyppi on valittuna, valitse tunnistetyyppi, joka on olemassa valituissa tietueissa, jotta sitä voidaan käyttää tämän entiteetin tunnistamiseen. Jokaisella entiteettityypillä on luettelo tuetuista tunnisteista, kuten on nähtävissä asianmukaisessa avattavassa valikossa. Lue kuvaus, joka näytetään vietäessä osoitinta kunkin tunnisteen päälle, jotta ymmärrät sen paremmin.

  7. Kun olet valinnut tunnuksen, valitse sarake kyselyn tuloksista, jotka sisältävät valitun tunnisteen. Voit avata kehittyneen metsästyskontekstipaneelin valitsemalla Tutki kyselyä ja tuloksia . Näin voit tutkia kyselyäsi ja tuloksiasi varmistaaksesi, että valitsit oikean sarakkeen valitulle tunnisteelle.
    Näyttökuva tapausten ohjatun toiminnon entiteettihaaran linkistä Microsoft Defender portaalissa.
    Tässä esimerkissä etsittiin kyselyllä tapahtumia, jotka liittyvät mahdolliseen sähköpostin suodatustapaukseen, joten vastaanottajan postilaatikko ja vastaanottajan tili ovat entiteettejä, joihin asia vaikuttaa, ja lähettäjän IP-osoite ja sähköpostiviesti liittyvät todisteisiin.

    Näyttökuva tapausten ohjatun toiminnon täyden entiteettien haaran linkistä Microsoft Defender portaalissa.

    Kullekin tietueelle luodaan eri ilmoitus, jossa on yksilöivä yhdistelmä entiteettejä, joihin tämä vaikuttaa. Jos esimerkissä on kolme eri vastaanottajan postilaatikkoa ja vastaanottajan objektitunnusyhdistelmää, luodaan kolme ilmoitusta ja linkitetään valittuun tapahtumaan.

  8. Valitse Seuraava.

  9. Tarkista Yhteenveto-osiossa antamasi tiedot.

  10. Valitse Valmis.

Näytä tapauksen linkitetyt tietueet

Voit valita luodun linkin ohjatun toiminnon yhteenvetovaiheesta tai valita tapahtuman nimen tapausjonosta nähdäksesi tapahtuman, johon tapahtumat on linkitetty.

Näyttökuva yhteenvetovaiheesta ohjatun tapahtumatoiminnon linkissä Microsoft Defender portaalissa.

Tässä esimerkissä kolme ilmoitusta, jotka edustavat kolmea valittua tapahtumaa, linkitettiin onnistuneesti uuteen tapahtumaan. Jokaisella ilmoitussivulla on täydelliset tiedot tapahtumasta tai tapahtumista aikajananäkymässä (jos käytettävissä) ja kyselyn tulosnäkymässä.

Voit myös valita tapahtuman aikajananäkymästä tai kyselyn tulosnäkymästä ja avata Tarkista tietue -ruudun.

Näyttökuva tapaussivusta Microsoft Defender portaalissa.

Suodata lisätyt tapahtumat kehittyneen metsästyksen avulla

Voit tarkastella kehittyneestä metsästyksestä luotuja ilmoituksia suodattamalla tapaukset ja hälytykset manuaalisen tunnistuksen lähteen mukaan.

Näyttökuva kehittyneen metsästyksen avattavasta suodattimen valikosta Microsoft Defender portaalissa.