Flytte varsler fra én hendelse til en annen i portalen Microsoft Defender
Selv om Microsoft Defender allerede bruker avanserte korrelasjonsmekanismer, kan det være lurt å avgjøre på en annen måte om et gitt varsel tilhører en bestemt hendelse eller ikke. I et slikt tilfelle kan du koble fra et varsel fra én hendelse og knytte det til en annen. Hvert varsel må tilhøre en hendelse, så du må legge ved varselet enten til en annen eksisterende hendelse, eller til en ny hendelse som du oppretter på stedet.
Denne artikkelen forklarer hvordan du flytter varsler fra én hendelse til en annen.
Forutsetninger
- Brukere må ha tillatelse til å vise hendelseskøen.
- Brukere må ha lese- og skrivetillatelser for alle varslene de ønsker å flytte mellom hendelser.
Få tilgang til panelet for å flytte varsler
Det finnes mange måter å komme til dette panelet på. Du kan få tilgang til den fra hvor som helst du kan velge eller utføre handlinger på varsler. Eksempel:
Velg ett eller flere varsler på en av følgende plasseringer ved å merke av i avmerkingsboksene i begynnelsen av radene. Når ett eller flere varsler er merket, vises Flytt varsler til en annen hendelse-knapp på verktøylinjen.
- Hendelser-køen. Utvid en gitt hendelse for å avsløre varslene den inneholder.
- Varsler-fanen på siden med hendelsesdetaljer .
- Varsler-køen.
På detaljpanelet på siden varseldetaljer vises også flyttvarselet til en annen hendelsesknapp .
Velg varselet eller varslene som skal flyttes
Åpne en av plasseringene som er nevnt i forrige del.
Merk varselet eller varslene du vil flytte, ved å merke av i avmerkingsboksene i begynnelsen av radene i køen. Når ett eller flere varsler er merket, vises Flytt varsler til en annen hendelse-knapp på verktøylinjen.
Velg Flytt varsler til en annen hendelse fra verktøylinjen. Et undermenypanel åpnes. Hvis du bare valgte ett varsel, er panelet merket Flytt varsel til en annen hendelse. Hvis du har valgt to eller flere varsler, er det merket Flytt flere varsler til en annen hendelse. På alle andre måter er det det samme panelet.
Hvis varselet eller varslene hører til en annen eksisterende hendelse, velger du Koble til en eksisterende hendelse. Ellers velger du Opprett en ny hendelse. Varsler må tilhøre en hendelse.
Flytte varsel eller varsler til en eksisterende hendelse
Hvis du valgte Koble til en eksisterende hendelse, vises et nytt tekstfelt, Hendelsesnavn eller ID umiddelbart etter valget. Begynn å skrive inn navnet eller ID-nummeret for hendelsen du vil legge ved varselet eller varslene til. Mens du skriver, vises og filtreres listen over tilgjengelige hendelser dynamisk etter hva du skriver inn. Når du ser det du vil ha i listen, velger du det.
Skriv inn en kommentar i Kommentar-feltet som forklarer hvorfor du vil flytte varslene.
Velg Lagre nederst i panelet for å utføre flyttingen.
Flytte varsel eller varsler til en ny hendelse
Hvis du valgte Opprett en ny hendelse, trenger du bare å skrive inn en kommentar som forklarer hvorfor du vil flytte varslene.
Velg Lagre nederst i panelet for å utføre flyttingen.
Når prosessen er fullført, opprettes det en ny hendelse med varselet eller varslene du flyttet til den. Hendelsen gis automatisk et navn basert på navnet på varselet eller varslene.
Aktivitetslogg
Når et varsel er korrelert med en hendelse, skrives en melding til hendelsens aktivitetslogg, som bekrefter at varselet var korrelert med det. Denne meldingen er skrevet under én av følgende omstendigheter:
- Et varsel opprettes og koordineres automatisk med en ny eller eksisterende hendelse.
- Et varsel flyttes fra én hendelse til en annen. Meldingen vises i loggen over målhendelsen.