Lier les résultats d'une requête à un incident
S’applique à :
- Microsoft Defender XDR
Vous pouvez utiliser la fonctionnalité lien vers l’incident pour ajouter des résultats de requête de repérage avancés à un incident nouveau ou existant en cours d’investigation. Cette fonctionnalité vous permet de capturer facilement des enregistrements à partir d’activités de chasse avancées, ce qui vous permet de créer une chronologie ou un contexte plus riche d’événements concernant un incident.
Lier les résultats à des incidents nouveaux ou existants
Dans la page de requête de repérage avancé, entrez d’abord votre requête dans le champ de requête fourni, puis sélectionnez Exécuter la requête pour obtenir vos résultats.
Dans la page Résultats, sélectionnez les événements ou enregistrements liés à une investigation nouvelle ou en cours sur laquelle vous travaillez, puis sélectionnez Lien vers l’incident.
Recherchez la section Détails de l’alerte dans le volet Lien vers l’incident, puis sélectionnez Créer un incident pour convertir les événements en alertes et les regrouper en un nouvel incident :
Ou sélectionnez Lier à un incident existant pour ajouter les enregistrements sélectionnés à un incident existant. Choisissez l’incident associé dans la liste déroulante des incidents existants. Vous pouvez également entrer les premiers caractères du nom ou de l’ID de l’incident pour trouver l’incident existant.
Pour l’une ou l’autre sélection, fournissez les détails suivants, puis sélectionnez Suivant :
- Titre de l’alerte : fournissez un titre descriptif pour les résultats que vos répondants aux incidents peuvent comprendre. Ce titre descriptif devient le titre de l’alerte.
- Gravité : choisissez la gravité applicable au groupe d’alertes.
- Catégorie : choisissez la catégorie de menace appropriée pour les alertes.
- Description : donnez une description utile pour les alertes groupées.
- Actions recommandées : fournissez des actions de correction.
Dans la section Entités impactées, sélectionnez l’entité main affectée ou impactée. Seules les entités applicables basées sur les résultats de la requête apparaissent dans cette section. Dans notre exemple, nous avons utilisé une requête pour rechercher les événements liés à un éventuel incident d’exfiltration d’e-mail. Par conséquent, l’expéditeur est l’entité affectée. S’il existe quatre expéditeurs différents, par instance, quatre alertes sont créées et liées à l’incident choisi.
Sélectionnez Suivant.
Passez en revue les détails que vous avez fournis dans la section Résumé .
Sélectionnez Terminé.
Afficher les enregistrements liés dans l’incident
Vous pouvez sélectionner le nom de l’incident pour afficher l’incident auquel les événements sont liés.
Dans notre exemple, les quatre alertes, représentant les quatre événements sélectionnés, ont été liées avec succès à un nouvel incident.
Dans chacune des pages d’alerte, vous pouvez trouver les informations complètes sur l’événement ou les événements dans chronologie vue (si disponible) et la vue des résultats de la requête.
Vous pouvez également sélectionner l’événement pour ouvrir le volet Inspecter l’enregistrement .
Filtrer les événements ajoutés à l’aide de la chasse avancée
Vous pouvez afficher les alertes générées à partir de la chasse avancée en filtrant la file d’attente Incidents et la file d’attente Alertes par source de détection manuelle .
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.