Länka aviseringar till en annan incident i Microsoft Defender-portalen
Även om Microsoft Defender redan använder avancerade korrelationsmekanismer kanske du vill bestämma om en viss avisering hör till en viss incident eller inte. I så fall kan du ta bort länken till en avisering från en incident och länka den till en annan. Varje avisering måste tillhöra en incident, så du måste länka aviseringen antingen till en annan befintlig incident eller till en ny incident som du skapar på plats.
Den här artikeln beskriver hur du avlänkar aviseringar från en incident och länkar dem till en annan.
Förhandskrav
- Användare måste ha behörighet att visa incidentkön.
- Användarna måste ha läs- och skrivbehörighet för alla aviseringar som de vill flytta mellan incidenter.
Öppna panelen för att ta bort länk till aviseringar
Det finns många sätt att komma till den här panelen. Du kan komma åt den var du än väljer eller vidtar åtgärder för aviseringar. Till exempel:
På någon av följande platser markerar du en eller flera aviseringar genom att markera kryssrutorna i början av raderna. När en eller flera aviseringar markeras visas knappen Länka aviseringar till en annan incident i verktygsfältet.
- Incidentkön. Expandera en viss incident för att visa de aviseringar som den innehåller.
- Fliken Aviseringar på sidan incidentinformation.
- Aviseringskön.
På informationspanelen på sidan med aviseringsinformation visas alltid knappen Länka aviseringar till en annan incident .
Välj den avisering eller de aviseringar som ska avlänkas
Öppna någon av de platser som nämns i föregående avsnitt.
Markera den avisering eller de aviseringar som du vill flytta genom att markera kryssrutorna i början av raderna i kön. När en eller flera aviseringar markeras visas knappen Länka aviseringar till en annan incident i verktygsfältet.
Välj Länka aviseringar till en annan incident i verktygsfältet. En utfälld panel öppnas. Om du bara har valt en avisering får panelen etiketten Länka avisering till en annan incident. Om du har valt två eller flera aviseringar har den etiketten Länka flera aviseringar till en annan incident. I alla andra avseenden är det samma panel.
Om aviseringen eller aviseringarna hör till en annan befintlig incident väljer du Länka till en befintlig incident. Annars väljer du Skapa en ny incident. Aviseringar måste tillhöra en incident.
Länka aviseringar eller aviseringar till en befintlig incident
Om du har valt Länka till en befintlig incident visas ett nytt textfält, incidentnamn eller ID direkt efter valet. Börja skriva namnet eller ID-numret för incidenten som du vill länka aviseringen eller aviseringarna till. När du skriver visas och filtreras listan över tillgängliga incidenter dynamiskt efter vad du skriver. När du ser den du vill använda i listan väljer du den.
I fältet Kommentar skriver du en kommentar som förklarar varför du vill flytta aviseringarna.
Välj Spara längst ned på panelen för att köra flytten.
Länka aviseringar eller aviseringar till en ny incident
Om du har valt Skapa en ny incident behöver du bara ange en kommentar som förklarar varför du vill flytta aviseringarna.
Välj Spara längst ned på panelen för att köra flytten.
När processen är klar skapas en ny incident med aviseringen eller aviseringarna som du har flyttat till den. Incidenten får ett namn automatiskt baserat på namnet på aviseringen eller aviseringarna.
Aktivitetslogg
När en avisering korreleras med en incident skrivs ett meddelande till incidentens aktivitetslogg, vilket intygar att aviseringen var korrelerad med den. Det här meddelandet skrivs under någon av följande omständigheter:
- En avisering skapas och korreleras automatiskt med en ny eller befintlig incident.
- En avisering är olänkad från en incident och länkas till en annan. Meddelandet visas i loggen för målincidenten.