通过

将查询结果链接到事件

  • 项目

适用于:

  • Microsoft Defender XDR

可以使用事件链接功能将高级搜寻查询结果添加到正在调查的新事件或现有事件。 此功能可帮助你轻松从高级搜寻活动捕获记录,从而可以创建更丰富的事件时间线或事件上下文。

  1. 在高级搜寻查询页中,首先在提供的查询字段中输入查询,然后选择“ 运行查询 ”以获取结果。

    Microsoft Defender门户中高级搜寻页的屏幕截图。

  2. 在“结果”页中,选择与你正在处理的新调查或当前调查相关的事件或记录,然后选择“ 链接到事件”。

    Microsoft Defender门户中高级搜寻中事件功能链接的屏幕截图。

  3. 在“事件链接”窗格中找到 “警报详细信息 ”部分,然后选择“ 创建新事件 ”,将事件转换为警报并将其分组为新事件:

    或选择“ 链接到现有事件 ”,将所选记录添加到现有记录。 从现有事件的下拉列表中选择相关事件。 还可以输入事件名称或 ID 的前几个字符来查找现有事件。

    Microsoft Defender门户中保存的查询中可用选项的屏幕截图。

  4. 对于任一选择,请提供以下详细信息,然后选择“ 下一步”:

    • 警报标题 - 为事件响应者可以理解的结果提供描述性标题。 此描述性标题将成为警报标题。
    • 严重性 - 选择适用于警报组的严重性。
    • 类别 - 为警报选择适当的威胁类别。
    • 说明 - 为分组警报提供有用的说明。
    • 建议的操作 - 提供修正操作。

  5. “实体 ”部分中,可以找到哪些实体用于将其他警报关联到链接事件。 它们也会显示在事件页中。 可按如下所述查看预选实体:

    a. 受影响的资产 - 受所选事件影响的资产可以是:

    • 帐户
    • 设备
    • 邮箱
    • 云应用程序
    • Azure 资源
    • Amazon Web Services 资源
    • Google Cloud Platform 资源

    b. 相关证据 - 所选事件中显示的非资产。 支持的实体类型包括:

    • 流程
    • 文件
    • 注册表值
    • IP
    • OAuth 应用程序
    • DNS
    • 安全组
    • URL
    • 邮件群集
    • 邮件

  6. 选择实体类型后,选择所选记录中存在的标识符类型,以便可用于标识此实体。 每个实体类型都有一个受支持的标识符列表,如相关下拉列表中所示。 阅读将鼠标悬停在每个标识符上时显示的说明,以便更好地了解它。

  7. 选择标识符后,从包含所选标识符的查询结果中选择一列。 可以选择“ 浏览查询和结果 ”以打开高级搜寻上下文面板。 这允许浏览查询和结果,以确保为所选标识符选择了正确的列。
    指向Microsoft Defender门户中事件向导实体分支的链接的屏幕截图。
    在我们的示例中,我们使用查询来查找与可能的电子邮件外泄事件相关的事件,因此收件人的邮箱和收件人的帐户是受影响的实体,发件人的 IP 以及电子邮件是相关证据。

    Microsoft Defender门户中事件向导完整实体分支链接的屏幕截图。

    将为每个记录创建一个不同的警报,其中包含受影响实体的唯一组合。 例如,在我们的示例中,如果有三个不同的收件人邮箱和收件人对象 ID 组合,则会创建三个警报并将其链接到所选事件。

  8. 选择 下一步

  9. 查看在“摘要”部分中提供的详细信息。

  10. 选择“完成”。

查看事件中的链接记录

可以从向导的摘要步骤中选择生成的链接,也可以从事件队列中选择事件名称,以查看事件链接到的事件。

Microsoft Defender门户中事件向导链接中的摘要步骤的屏幕截图。

在我们的示例中,三个警报(表示三个所选事件)已成功链接到新事件。 在每个警报页中,可以在时间线视图中找到有关事件的完整信息, () 和查询结果视图。

还可以从时间线视图或查询结果视图中选择事件,以打开“检查记录”窗格。

Microsoft Defender门户中事件页的屏幕截图。

筛选使用高级搜寻添加的事件

可以通过按 手动 检测源筛选事件和警报来查看从高级搜寻生成的警报。

Microsoft Defender门户中高级搜寻中的筛选器下拉列表的屏幕截图。