Udostępnij za pośrednictwem

Łączenie wyników zapytań ze zdarzeniami

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Możesz użyć funkcji linku do zdarzenia, aby dodać zaawansowane wyniki zapytania wyszukiwania zagrożeń do nowego lub istniejącego badanego incydentu. Ta funkcja ułatwia przechwytywanie rekordów z zaawansowanych działań wyszukiwania zagrożeń, co umożliwia tworzenie bogatszej osi czasu lub kontekstu zdarzeń dotyczących zdarzenia.

  1. Na stronie zaawansowanego zapytania wyszukiwania zagrożeń wprowadź zapytanie w podanym polu zapytania, a następnie wybierz pozycję Uruchom zapytanie , aby uzyskać wyniki.

    Zrzut ekranu przedstawiający zaawansowaną stronę wyszukiwania zagrożeń w portalu Microsoft Defender.

  2. Na stronie Wyniki wybierz zdarzenia lub rekordy związane z nowym lub bieżącym badaniem, nad którym pracujesz, a następnie wybierz pozycję Połącz z incydentem.

    Zrzut ekranu przedstawiający link do funkcji zdarzenia w zaawansowanym polowaniu w portalu Microsoft Defender.

  3. Znajdź sekcję Szczegóły alertu w okienku Link do zdarzenia, a następnie wybierz pozycję Utwórz nowe zdarzenie , aby przekonwertować zdarzenia na alerty i pogrupować je na nowe zdarzenie:

    Możesz też wybrać pozycję Połącz z istniejącym zdarzeniem , aby dodać wybrane rekordy do istniejącego. Wybierz powiązane zdarzenie z listy rozwijanej istniejących zdarzeń. Możesz również wprowadzić kilka pierwszych znaków nazwy zdarzenia lub identyfikatora, aby znaleźć istniejące zdarzenie.

    Zrzut ekranu przedstawiający opcje dostępne w zapisanych zapytaniach w portalu Microsoft Defender.

  4. W przypadku dowolnego zaznaczenia podaj następujące szczegóły, a następnie wybierz pozycję Dalej:

    • Tytuł alertu — podaj opisowy tytuł wyników, które mogą zrozumieć użytkownicy reagujący na zdarzenia. Ten opisowy tytuł staje się tytułem alertu.
    • Ważność — wybierz ważność mającą zastosowanie do grupy alertów.
    • Kategoria — wybierz odpowiednią kategorię zagrożeń dla alertów.
    • Opis — podaj przydatny opis zgrupowanych alertów.
    • Zalecane akcje — podaj akcje korygowania.

  5. W sekcji Jednostki możesz znaleźć jednostki używane do korelowania innych alertów z połączonym zdarzeniem. Są one również wyświetlane na stronie zdarzenia. Możesz przejrzeć wstępnie wybrane jednostki podzielone na kategorie w następujący sposób:

    a. Zasoby, których dotyczy problem — zasoby, na które mają wpływ wybrane zdarzenia, mogą być następujące:

    • Rachunek
    • Urządzenie
    • Skrzynka pocztowa
    • Aplikacja w chmurze
    • Zasób platformy Azure
    • Zasób usługi Amazon Web Services
    • Zasób google cloud platform

    b. Powiązane dowody — elementy inne niż zasoby wyświetlane w wybranych zdarzeniach. Obsługiwane typy jednostek to:

    • Proces
    • Plik
    • Wartość rejestru
    • Adres IP
    • Aplikacja OAuth
    • DNS
    • Grupa zabezpieczeń
    • URL
    • Klaster poczty
    • Wiadomość e-mail

  6. Po wybraniu typu jednostki wybierz typ identyfikatora, który istnieje w wybranych rekordach, aby można go było użyć do zidentyfikowania tej jednostki. Każdy typ jednostki ma listę obsługiwanych identyfikatorów, co można zobaczyć na odpowiedniej liście rozwijanej. Przeczytaj opis wyświetlany podczas umieszczania wskaźnika myszy na każdym identyfikatorze, aby lepiej go zrozumieć.

  7. Po wybraniu identyfikatora wybierz kolumnę z wyników zapytania zawierających wybrany identyfikator. Możesz wybrać pozycję Eksploruj zapytanie i wyniki , aby otworzyć zaawansowany panel kontekstu wyszukiwania zagrożeń. Dzięki temu możesz eksplorować zapytanie i wyniki, aby upewnić się, że wybrano odpowiednią kolumnę dla wybranego identyfikatora.
    Zrzut ekranu przedstawiający gałąź jednostek kreatora zdarzeń w portalu Microsoft Defender.
    W naszym przykładzie użyliśmy zapytania w celu znalezienia zdarzeń związanych z możliwym zdarzeniem eksfiltracji wiadomości e-mail, dlatego skrzynka pocztowa i konto adresata są jednostkami, których dotyczy problem, a adres IP nadawcy oraz wiadomość e-mail są powiązanymi dowodami.

    Zrzut ekranu przedstawiający pełną gałąź jednostek kreatora zdarzeń w portalu Microsoft Defender.

    Dla każdego rekordu jest tworzony inny alert z unikatową kombinacją jednostek, których dotyczy problem. W naszym przykładzie, jeśli istnieją trzy różne skrzynki pocztowe adresatów i kombinacje identyfikatorów obiektów adresatów, na przykład trzy alerty są tworzone i połączone z wybranym zdarzeniem.

  8. Wybierz pozycję Dalej.

  9. Przejrzyj szczegóły podane w sekcji Podsumowanie.

  10. Wybierz pozycję Gotowe.

Wyświetlanie połączonych rekordów w zdarzeniu

Możesz wybrać wygenerowany link w kroku podsumowania kreatora lub wybrać nazwę zdarzenia z kolejki zdarzeń, aby wyświetlić zdarzenie, z którym są połączone zdarzenia.

Zrzut ekranu przedstawiający krok podsumowania w kreatorze linku do zdarzenia w portalu Microsoft Defender.

W naszym przykładzie trzy alerty reprezentujące trzy wybrane zdarzenia zostały pomyślnie połączone z nowym incydentem. Na każdej ze stron alertów można znaleźć pełne informacje o zdarzeniu lub zdarzeniach w widoku osi czasu (jeśli jest dostępny) i widoku wyników zapytania.

Możesz również wybrać zdarzenie z widoku osi czasu lub z widoku wyników zapytania, aby otworzyć okienko Inspekcja rekordu .

Zrzut ekranu przedstawiający stronę zdarzenia w portalu Microsoft Defender.

Filtrowanie zdarzeń dodanych przy użyciu zaawansowanego wyszukiwania zagrożeń

Możesz sprawdzić, które alerty zostały wygenerowane na podstawie zaawansowanego wyszukiwania zagrożeń, filtrując zdarzenia i alerty według źródła wykrywania ręcznego .

Zrzut ekranu przedstawiający listę rozwijaną filtru w zaawansowanym polowaniu w portalu Microsoft Defender.