Condividi tramite

Collegare avvisi a un altro evento imprevisto nel portale di Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Anche se Microsoft Defender usa già meccanismi di correlazione avanzati, è possibile decidere in modo diverso se un determinato avviso appartiene o meno a un evento imprevisto specifico. In questo caso, è possibile scollegare un avviso da un evento imprevisto e collegarlo a un altro. Ogni avviso deve appartenere a un evento imprevisto, quindi è necessario collegare l'avviso a un altro evento imprevisto esistente o a un nuovo evento imprevisto creato sul posto.

Questo articolo illustra come scollegare gli avvisi da un evento imprevisto e collegarli a un altro.

Prerequisiti

  • Gli utenti devono avere le autorizzazioni per visualizzare la coda degli eventi imprevisti.
  • Gli utenti devono disporre delle autorizzazioni di lettura e scrittura per tutti gli avvisi che desiderano spostare tra gli eventi imprevisti.

Esistono molti modi per accedere a questo pannello. È possibile accedervi da qualsiasi posizione in cui è possibile selezionare o intervenire sugli avvisi. Ad esempio:

In una delle posizioni seguenti selezionare uno o più avvisi contrassegnando le caselle di controllo all'inizio delle righe. Quando uno o più avvisi sono contrassegnati, viene visualizzato il pulsante Collega avvisi a un altro evento imprevisto sulla barra degli strumenti.

  • Coda eventi imprevisti . Espandere un determinato evento imprevisto per visualizzare gli avvisi in esso contenuti.
  • Scheda Avvisi nella pagina dei dettagli dell'evento imprevisto.
  • Coda Avvisi .

Inoltre, nel pannello dei dettagli in una pagina dei dettagli dell'avviso viene sempre visualizzato il pulsante Collega avvisi a un altro evento imprevisto .

  1. Aprire una delle posizioni indicate nella sezione precedente.

  2. Selezionare l'avviso o gli avvisi da spostare contrassegnando le caselle di controllo all'inizio delle righe nella coda. Quando uno o più avvisi sono contrassegnati, viene visualizzato il pulsante Collega avvisi a un altro evento imprevisto sulla barra degli strumenti.

    Screenshot della selezione degli avvisi dalla coda per passare a un altro evento imprevisto.

  3. Selezionare Collega avvisi a un altro evento imprevisto dalla barra degli strumenti. Verrà aperto un pannello a comparsa. Se è stato selezionato un solo avviso, il pannello viene etichettato Collega avviso a un altro evento imprevisto. Se sono stati selezionati due o più avvisi, l'etichetta Collega più avvisi a un altro evento imprevisto. Sotto tutti gli altri aspetti, è lo stesso pannello.

  4. Se l'avviso o gli avvisi appartengono a un altro evento imprevisto esistente, selezionare Collega a un evento imprevisto esistente. In caso contrario, selezionare Crea un nuovo evento imprevisto. Gli avvisi devono appartenere a un evento imprevisto.

  1. Se è stato selezionato Collega a un evento imprevisto esistente, viene visualizzato un nuovo campo di testo, Nome evento imprevisto o ID, immediatamente dopo la selezione. Iniziare a digitare il nome o il numero id dell'evento imprevisto a cui si vuole collegare l'avviso o gli avvisi. Durante la digitazione, l'elenco degli eventi imprevisti disponibili viene visualizzato in modo dinamico e filtrato in base al tipo digitato. Quando viene visualizzato quello desiderato nell'elenco, selezionarlo.

    Screenshot della selezione di un evento imprevisto esistente in cui spostare un avviso.

  2. Nel campo Commento digitare un commento che spiega il motivo per cui si vogliono spostare gli avvisi.

    Screenshot dell'aggiunta di un commento che spiega perché spostare un avviso.

  3. Selezionare Salva nella parte inferiore del pannello per eseguire lo spostamento.

  1. Se è stata selezionata l'opzione Crea un nuovo evento imprevisto, è sufficiente immettere un commento che spieghi il motivo per cui si vogliono spostare gli avvisi.

  2. Selezionare Salva nella parte inferiore del pannello per eseguire lo spostamento.

    Screenshot della selezione di un nuovo evento imprevisto in cui spostare un avviso.

    Al termine del processo, viene creato un nuovo evento imprevisto con l'avviso o gli avvisi spostati. All'evento imprevisto viene assegnato automaticamente un nome in base al nome dell'avviso o degli avvisi.

Log attività

Quando un avviso è correlato a un evento imprevisto, viene scritto un messaggio nel log attività dell'evento imprevisto, che attesta che l'avviso è correlato. Questo messaggio viene scritto in una delle circostanze seguenti:

  • Un avviso viene creato e automaticamente correlato a un evento imprevisto nuovo o esistente.
  • Un avviso viene scollegato da un evento imprevisto e collegato a un altro. Il messaggio viene visualizzato nel log dell'evento imprevisto di destinazione.

Vedere anche