Delen via

Waarschuwingen verplaatsen van het ene incident naar het andere in de Microsoft Defender-portal

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Hoewel Microsoft Defender al gebruikmaakt van geavanceerde correlatiemechanismen, wilt u misschien anders beslissen of een bepaalde waarschuwing bij een bepaald incident hoort of niet. In dat geval kunt u een waarschuwing loskoppelen van het ene incident en deze koppelen aan een ander incident. Elke waarschuwing moet deel uitmaken van een incident, dus moet u de waarschuwing koppelen aan een ander bestaand incident of aan een nieuw incident dat u ter plaatse maakt.

In dit artikel wordt uitgelegd hoe u waarschuwingen van het ene incident naar het andere verplaatst.

Vereisten

  • Gebruikers moeten machtigingen hebben om de wachtrij met incidenten weer te geven.
  • Gebruikers moeten lees- en schrijfmachtigingen hebben voor alle waarschuwingen die ze willen verplaatsen tussen incidenten.

Toegang tot het deelvenster om waarschuwingen te verplaatsen

Er zijn veel manieren om naar dit deelvenster te gaan. U hebt er toegang toe vanaf elke locatie waar u waarschuwingen kunt selecteren of er actie op kunt ondernemen. Bijvoorbeeld:

Selecteer op een van de volgende locaties een of meer waarschuwingen door de selectievakjes aan het begin van de rijen te markeren. Wanneer een of meer waarschuwingen zijn gemarkeerd, wordt de knop Waarschuwingen verplaatsen naar een ander incident weergegeven op de werkbalk.

  • De wachtrij Incidenten . Vouw een bepaald incident uit om de waarschuwingen weer te geven.
  • Het tabblad Waarschuwingen op de pagina met incidentdetails.
  • De wachtrij Waarschuwingen .

Bovendien wordt in het detailvenster op de pagina met waarschuwingsdetails altijd de knop Waarschuwing verplaatsen naar een ander incident weergegeven.

Selecteer de waarschuwing of waarschuwingen die u wilt verplaatsen

  1. Open een van de locaties die in de vorige sectie worden vermeld.

  2. Selecteer de waarschuwing of waarschuwingen die u wilt verplaatsen door de selectievakjes aan het begin van hun rijen in de wachtrij te markeren. Wanneer een of meer waarschuwingen zijn gemarkeerd, wordt de knop Waarschuwingen verplaatsen naar een ander incident weergegeven op de werkbalk.

    Schermopname van het selecteren van waarschuwingen in de wachtrij om naar een ander incident te gaan.

  3. Selecteer Waarschuwingen verplaatsen naar een ander incident op de werkbalk. Er wordt een flyoutvenster geopend. Als u slechts één waarschuwing hebt geselecteerd, heeft het deelvenster het label Waarschuwing verplaatsen naar een ander incident. Als u twee of meer waarschuwingen hebt geselecteerd, heeft dit het label Meerdere waarschuwingen verplaatsen naar een ander incident. In alle andere opzichten is het hetzelfde paneel.

  4. Als de waarschuwing of waarschuwingen bij een ander bestaand incident horen, selecteert u Koppelen aan een bestaand incident. Selecteer anders Een nieuw incident maken. Waarschuwingen moeten deel uitmaken van een incident.

Waarschuwing of waarschuwingen verplaatsen naar een bestaand incident

  1. Als u Koppelen aan een bestaand incident hebt geselecteerd, wordt direct na de selectie een nieuw tekstveld, incidentnaam of id, weergegeven. Begin met het typen van de naam of het id-nummer van het incident waaraan u de waarschuwing of waarschuwingen wilt toevoegen. Terwijl u typt, wordt de lijst met beschikbare incidenten dynamisch weergegeven en gefilterd op wat u typt. Wanneer u de gewenste optie in de lijst ziet, selecteert u deze.

    Schermopname van het selecteren van een bestaand incident waar een waarschuwing naartoe moet worden verplaatst.

  2. Typ in het veld Opmerking een opmerking waarin wordt uitgelegd waarom u de waarschuwingen wilt verplaatsen.

    Schermopname van het toevoegen van een opmerking waarin wordt uitgelegd waarom een waarschuwing wordt verplaatst.

  3. Selecteer Opslaan onderaan het deelvenster om de verplaatsing uit te voeren.

Waarschuwing of waarschuwingen verplaatsen naar een nieuw incident

  1. Als u Een nieuw incident maken hebt geselecteerd, hoeft u alleen maar een opmerking in te voeren waarin wordt uitgelegd waarom u de waarschuwingen wilt verplaatsen.

  2. Selecteer Opslaan onderaan het deelvenster om de verplaatsing uit te voeren.

    Schermopname van het selecteren van een nieuw incident waar een waarschuwing naartoe moet worden verplaatst.

    Wanneer het proces is voltooid, wordt er een nieuw incident gemaakt met de waarschuwing of waarschuwingen die u hebt verplaatst. Het incident krijgt automatisch een naam op basis van de naam van de waarschuwing of waarschuwingen.

Activiteitenlogboek

Wanneer een waarschuwing is gecorreleerd met een incident, wordt er een bericht naar het activiteitenlogboek van het incident geschreven, waarin wordt bevestigd dat de waarschuwing ermee is gecorreleerd. Dit bericht is geschreven in een van de volgende omstandigheden:

  • Er wordt een waarschuwing gemaakt en automatisch gecorreleerd met een nieuw of bestaand incident.
  • Een waarschuwing wordt verplaatst van het ene incident naar het andere. Het bericht wordt weergegeven in het logboek van het doelincident.

Zie ook