Łączenie alertów z innym incydentem w portalu Microsoft Defender
Chociaż Microsoft Defender już używa zaawansowanych mechanizmów korelacji, możesz zdecydować inaczej, czy dany alert należy do określonego zdarzenia, czy nie. W takim przypadku możesz odłączyć alert od jednego zdarzenia i połączyć go z innym. Każdy alert musi należeć do zdarzenia, więc musisz połączyć alert z innym istniejącym zdarzeniem lub z nowym zdarzeniem utworzonym na miejscu.
W tym artykule wyjaśniono, jak odłączyć alerty od jednego zdarzenia i połączyć je z innym.
Wymagania wstępne
- Użytkownicy muszą mieć uprawnienia do wyświetlania kolejki zdarzeń.
- Użytkownicy muszą mieć uprawnienia do odczytu i zapisu dla wszystkich alertów, które chcą przenosić między zdarzeniami.
Uzyskiwanie dostępu do panelu w celu odłączenia alertów
Istnieje wiele sposobów, aby dostać się do tego panelu. Możesz uzyskać do niego dostęp z dowolnego miejsca, w których możesz wybrać alerty lub podjąć działania w przypadku alertów. Przykład:
W dowolnej z następujących lokalizacji wybierz co najmniej jeden alert, zaznaczając pola wyboru na początku wierszy. Po oznaczeniu co najmniej jednego alertu na pasku narzędzi zostanie wyświetlony przycisk Połącz alerty z innym zdarzeniem .
- Kolejka Zdarzenia . Rozwiń dany incydent, aby wyświetlić alerty, które zawiera.
- Karta Alerty na stronie szczegółów zdarzenia.
- Kolejka alertów .
Ponadto na panelu szczegółów na stronie szczegółów alertu zawsze pojawia się przycisk Połącz alerty z innym zdarzeniem .
Wybierz alert lub alerty, które chcesz odłączyć
Otwórz jedną z lokalizacji wymienionych w poprzedniej sekcji.
Wybierz alert lub alerty, które chcesz przenieść, zaznaczając pola wyboru na początku wierszy w kolejce. Po oznaczeniu co najmniej jednego alertu na pasku narzędzi zostanie wyświetlony przycisk Połącz alerty z innym zdarzeniem .
Wybierz pozycję Połącz alerty z innym incydentem na pasku narzędzi. Zostanie otwarty panel wysuwany. Jeśli wybrano tylko jeden alert, panel ma etykietę Połącz alert z innym zdarzeniem. Jeśli wybrano co najmniej dwa alerty, jest on oznaczony etykietą Połącz wiele alertów z innym incydentem. We wszystkich innych aspektach jest to ten sam panel.
Jeśli alert lub alerty należą do innego istniejącego zdarzenia, wybierz pozycję Połącz z istniejącym incydentem. W przeciwnym razie wybierz pozycję Utwórz nowe zdarzenie. Alerty muszą należeć do zdarzenia.
Łączenie alertów lub alertów z istniejącym incydentem
Jeśli wybrano pozycję Połącz z istniejącym zdarzeniem, po zaznaczeniu zostanie wyświetlone nowe pole tekstowe, nazwa zdarzenia lub identyfikator. Zacznij wpisywać nazwę lub numer identyfikatora zdarzenia, z którą chcesz połączyć alert lub alerty. Podczas wpisywania lista dostępnych zdarzeń jest dynamicznie wyświetlana i filtrowana według typu. Gdy na liście zostanie wyświetlony odpowiedni element, wybierz go.
W polu Komentarz wpisz komentarz wyjaśniający, dlaczego chcesz przenieść alerty.
Wybierz pozycję Zapisz w dolnej części panelu, aby wykonać przeniesienie.
Łączenie alertów lub alertów z nowym incydentem
Jeśli wybrano pozycję Utwórz nowe zdarzenie, wystarczy wprowadzić komentarz wyjaśniający, dlaczego chcesz przenieść alerty.
Wybierz pozycję Zapisz w dolnej części panelu, aby wykonać przeniesienie.
Po zakończeniu procesu zostanie utworzone nowe zdarzenie z alertem lub alertami, które zostały do niego przeniesione. Zdarzenie otrzymuje nazwę automatycznie na podstawie nazwy alertu lub alertów.
Dziennik aktywności
Gdy alert jest skorelowany ze zdarzeniem, komunikat jest zapisywany w dzienniku aktywności zdarzenia, co potwierdza, że alert został z nim skorelowany. Ta wiadomość jest napisana w jednej z następujących okoliczności:
- Alert jest tworzony i automatycznie skorelowany z nowym lub istniejącym zdarzeniem.
- Alert jest odłączony od jednego zdarzenia i połączony z innym. Komunikat zostanie wyświetlony w dzienniku zdarzenia docelowego.