Flytta aviseringar från en incident till en annan i Microsoft Defender-portalen
Även om Microsoft Defender redan använder avancerade korrelationsmekanismer kanske du vill bestämma om en viss avisering hör till en viss incident eller inte. I så fall kan du koppla bort en avisering från en incident och koppla den till en annan. Varje avisering måste tillhöra en incident, så du måste bifoga aviseringen antingen till en annan befintlig incident eller till en ny incident som du skapar på plats.
Den här artikeln beskriver hur du flyttar aviseringar från en incident till en annan.
Förhandskrav
- Användare måste ha behörighet att visa incidentkön.
- Användarna måste ha läs- och skrivbehörighet för alla aviseringar som de vill flytta mellan incidenter.
Gå till panelen för att flytta aviseringar
Det finns många sätt att komma till den här panelen. Du kan komma åt den var du än väljer eller vidtar åtgärder för aviseringar. Till exempel:
På någon av följande platser markerar du en eller flera aviseringar genom att markera kryssrutorna i början av raderna. När en eller flera aviseringar har markerats visas knappen Flytta aviseringar till en annan incident i verktygsfältet.
- Incidentkön. Expandera en viss incident för att visa de aviseringar som den innehåller.
- Fliken Aviseringar på sidan incidentinformation.
- Aviseringskön.
På informationspanelen på sidan med aviseringsinformation visas alltid knappen Flytta avisering till en annan incident .
Välj den avisering eller de aviseringar som ska flyttas
Öppna någon av de platser som nämns i föregående avsnitt.
Markera den avisering eller de aviseringar som du vill flytta genom att markera kryssrutorna i början av raderna i kön. När en eller flera aviseringar har markerats visas knappen Flytta aviseringar till en annan incident i verktygsfältet.
Välj Flytta aviseringar till en annan incident i verktygsfältet. En utfälld panel öppnas. Om du bara har valt en avisering har panelen etiketten Flytta avisering till en annan incident. Om du har valt två eller flera aviseringar har den etiketten Flytta flera aviseringar till en annan incident. I alla andra avseenden är det samma panel.
Om aviseringen eller aviseringarna hör till en annan befintlig incident väljer du Länka till en befintlig incident. Annars väljer du Skapa en ny incident. Aviseringar måste tillhöra en incident.
Flytta aviseringar eller aviseringar till en befintlig incident
Om du har valt Länka till en befintlig incident visas ett nytt textfält, incidentnamn eller ID direkt efter valet. Börja skriva namnet eller ID-numret för incidenten som du vill koppla aviseringen eller aviseringarna till. När du skriver visas och filtreras listan över tillgängliga incidenter dynamiskt efter vad du skriver. När du ser den du vill använda i listan väljer du den.
I fältet Kommentar skriver du en kommentar som förklarar varför du vill flytta aviseringarna.
Välj Spara längst ned på panelen för att köra flytten.
Flytta aviseringar eller aviseringar till en ny incident
Om du har valt Skapa en ny incident behöver du bara ange en kommentar som förklarar varför du vill flytta aviseringarna.
Välj Spara längst ned på panelen för att köra flytten.
När processen är klar skapas en ny incident med aviseringen eller aviseringarna som du har flyttat till den. Incidenten får ett namn automatiskt baserat på namnet på aviseringen eller aviseringarna.
Aktivitetslogg
När en avisering korreleras med en incident skrivs ett meddelande till incidentens aktivitetslogg, vilket intygar att aviseringen var korrelerad med den. Det här meddelandet skrivs under någon av följande omständigheter:
- En avisering skapas och korreleras automatiskt med en ny eller befintlig incident.
- En avisering flyttas från en incident till en annan. Meddelandet visas i loggen för målincidenten.