Перемещение оповещений из одного инцидента в другой на портале Microsoft Defender
Хотя Microsoft Defender уже использует расширенные механизмы корреляции, может потребоваться решить, относится ли данное оповещение к конкретному инциденту или нет. В этом случае можно отсоединить оповещение от одного инцидента и присоединить его к другому. Каждое оповещение должно относиться к инциденту, поэтому оповещение необходимо прикрепить к другому существующему инциденту или к новому инциденту, создаваемому на месте.
В этой статье объясняется, как перемещать оповещения из одного инцидента в другой.
Предварительные условия
- Пользователи должны иметь разрешения на просмотр очереди инцидентов.
- Пользователи должны иметь разрешения на чтение и запись для всех оповещений, которые они хотят перемещать между инцидентами.
Доступ к панели для перемещения оповещений
Есть много способов добраться до этой панели. Вы можете получить доступ к нему из любого места, где вы можете выбрать или принять меры для оповещений. Например:
В любом из следующих расположений выберите одно или несколько оповещений, установив флажки в начале строк. Если отмечено одно или несколько оповещений, на панели инструментов появляется кнопка Переместить оповещения в другой инцидент .
- Очередь инцидентов . Разверните заданный инцидент, чтобы отобразить содержащиеся в нем оповещения.
- Вкладка Оповещения на странице сведений об инциденте.
- Очередь оповещений .
Кроме того, на панели сведений на странице сведений об оповещении всегда отображается кнопка Переместить оповещение в другой инцидент .
Выберите оповещение или оповещения для перемещения
Откройте одно из расположений, упомянутых в предыдущем разделе.
Выберите оповещение или оповещения, которые нужно переместить, установив флажки в начале строк очереди. Если отмечено одно или несколько оповещений, на панели инструментов появляется кнопка Переместить оповещения в другой инцидент .
Выберите Переместить оповещения в другой инцидент на панели инструментов. Откроется всплывающий элемент. Если выбрано только одно оповещение, панель будет помечена как Переместить оповещение в другой инцидент. Если вы выбрали два или более оповещений, они помечены как Перемещение нескольких оповещений в другой инцидент. Во всех остальных отношениях, это та же панель.
Если оповещение или оповещения относятся к другому существующему инциденту, выберите Ссылку на существующий инцидент. В противном случае выберите Создать новый инцидент. Оповещения должны относиться к инциденту.
Перемещение оповещений или оповещений в существующий инцидент
Если вы выбрали Ссылку на существующий инцидент, сразу после выбора появится новое текстовое поле Имя или идентификатор инцидента. Начните вводить имя или идентификатор инцидента, к которому вы хотите присоединить оповещение или оповещения. По мере ввода список доступных инцидентов динамически отображается и фильтруется по типу. Когда вы увидите нужный в списке, выберите его.
В поле Комментарий введите комментарий, объясняющий, почему вы хотите переместить оповещения.
Нажмите кнопку Сохранить в нижней части панели, чтобы выполнить перемещение.
Перемещение оповещений или оповещений в новый инцидент
Если вы выбрали Создать новый инцидент, все, что вам нужно сделать, это ввести комментарий, объясняющий, почему вы хотите переместить оповещения.
Нажмите кнопку Сохранить в нижней части панели, чтобы выполнить перемещение.
По завершении процесса создается новый инцидент с оповещением или оповещениями, которые вы переместили в него. Инциденту присваивается имя автоматически на основе имени оповещения или оповещений.
Журнал действий
Когда оповещение сопоставляется с инцидентом, в журнал действий инцидента записывается сообщение, удостоверяющее, что оповещение было связано с ним. Это сообщение записывается в любом из следующих случаев:
- Оповещение создается и автоматически сопоставляется с новым или существующим инцидентом.
- Оповещение перемещается из одного инцидента в другой. Сообщение появится в журнале инцидента назначения.