Связывание оповещений с другим инцидентом на портале Microsoft Defender
Хотя Microsoft Defender уже использует расширенные механизмы корреляции, может потребоваться решить, относится ли данное оповещение к конкретному инциденту или нет. В этом случае можно отключить связь оповещения с одним инцидентом и связать его с другим. Каждое оповещение должно принадлежать к инциденту, поэтому необходимо связать оповещение либо с другим существующим инцидентом, либо с новым инцидентом, создаваемым на месте.
В этой статье объясняется, как отключить связь оповещений из одного инцидента и связать их с другим.
Предварительные условия
- Пользователи должны иметь разрешения на просмотр очереди инцидентов.
- Пользователи должны иметь разрешения на чтение и запись для всех оповещений, которые они хотят перемещать между инцидентами.
Доступ к панели для отмены связи оповещений
Есть много способов добраться до этой панели. Вы можете получить доступ к нему из любого места, где вы можете выбрать или принять меры для оповещений. Например:
В любом из следующих расположений выберите одно или несколько оповещений, установив флажки в начале строк. Если отмечено одно или несколько оповещений, на панели инструментов появляется кнопка Связать оповещения с другим инцидентом .
- Очередь инцидентов . Разверните заданный инцидент, чтобы отобразить содержащиеся в нем оповещения.
- Вкладка Оповещения на странице сведений об инциденте.
- Очередь оповещений .
Кроме того, на панели сведений на странице сведений об оповещении всегда отображается кнопка Связать оповещения с другим инцидентом .
Выберите оповещение или оповещения для отмены связи.
Откройте одно из расположений, упомянутых в предыдущем разделе.
Выберите оповещение или оповещения, которые нужно переместить, установив флажки в начале строк очереди. Если отмечено одно или несколько оповещений, на панели инструментов появляется кнопка Связать оповещения с другим инцидентом .
Выберите Связать оповещения с другим инцидентом на панели инструментов. Откроется всплывающий элемент. Если выбрано только одно оповещение, панель будет помечена как Связывание оповещения с другим инцидентом. Если вы выбрали два или более оповещений, они помечены как Связывание нескольких оповещений с другим инцидентом. Во всех остальных отношениях, это та же панель.
Если оповещение или оповещения относятся к другому существующему инциденту, выберите Ссылку на существующий инцидент. В противном случае выберите Создать новый инцидент. Оповещения должны относиться к инциденту.
Связывание оповещений или оповещений с существующим инцидентом
Если вы выбрали Ссылку на существующий инцидент, сразу после выбора появится новое текстовое поле Имя или идентификатор инцидента. Начните вводить имя или идентификатор инцидента, с которым вы хотите связать оповещение или оповещения. По мере ввода список доступных инцидентов динамически отображается и фильтруется по типу. Когда вы увидите нужный в списке, выберите его.
В поле Комментарий введите комментарий, объясняющий, почему вы хотите переместить оповещения.
Нажмите кнопку Сохранить в нижней части панели, чтобы выполнить перемещение.
Связывание оповещений или оповещений с новым инцидентом
Если вы выбрали Создать новый инцидент, все, что вам нужно сделать, это ввести комментарий, объясняющий, почему вы хотите переместить оповещения.
Нажмите кнопку Сохранить в нижней части панели, чтобы выполнить перемещение.
По завершении процесса создается новый инцидент с оповещением или оповещениями, которые вы переместили в него. Инциденту присваивается имя автоматически на основе имени оповещения или оповещений.
Журнал действий
Когда оповещение сопоставляется с инцидентом, в журнал действий инцидента записывается сообщение, удостоверяющее, что оповещение было связано с ним. Это сообщение записывается в любом из следующих случаев:
- Оповещение создается и автоматически сопоставляется с новым или существующим инцидентом.
- Оповещение не связано с одним инцидентом и связано с другим. Сообщение появится в журнале инцидента назначения.