在Microsoft Defender门户中将警报链接到另一个事件
虽然Microsoft Defender已使用高级关联机制,但你可能希望以不同的方式决定给定警报是否属于特定事件。 在这种情况下,可以取消警报与一个事件的链接,并将其链接到另一个事件。 每个警报都必须属于一个事件,因此必须将警报链接到另一个现有事件,或链接到现场创建的新事件。
本文介绍如何取消警报与一个事件的链接,并将其链接到另一个事件。
先决条件
- 用户必须有权查看事件队列。
- 用户必须对要在事件之间移动的所有警报具有读取和写入权限。
访问面板以取消链接警报
可通过多种方式访问此面板。 可以从任何可以选择或对警报执行操作的位置访问它。 例如:
在以下任一位置中,通过在警报行开头标记复选框来选择一个或多个警报。 标记一个或多个警报时,工具栏上会显示“ 将警报链接到另一个事件 ”按钮。
- 事件队列。 展开给定事件以显示其包含的警报。
- 事件详细信息页上的“ 警报 ”选项卡。
- 警报队列。
此外,在警报详细信息页上的详细信息面板上,始终显示 “将警报链接到另一个事件 ”按钮。
选择要取消链接的警报
打开上一部分中提到的位置之一。
通过标记队列中行开头的复选框来选择要移动的一个或多个警报。 标记一个或多个警报时,工具栏上会显示“ 将警报链接到另一个事件 ”按钮。
从工具栏中选择“ 将警报链接到另一个事件 ”。 此时会打开浮出控件面板。 如果仅选择了一个警报,面板将标记为 “将警报链接到另一个事件”。 如果选择了两个或更多警报,则会将其标记为 “将多个警报链接到另一个事件”。 在所有其他方面,它是相同的面板。
如果警报或警报属于另一个现有事件,请选择“ 链接到现有事件”。 否则,请选择“ 创建新事件”。 警报必须属于事件。
将警报或警报链接到现有事件
如果选择了 “链接到现有事件”,则会紧跟在所选内容之后显示新的文本字段“ 事件名称或 ID”。 开始键入要将警报或警报链接到的事件的名称或 ID 号。 键入时,将动态显示可用事件列表,并按键入的内容进行筛选。 当在列表中看到所需选项时,请选择它。
在“ 注释 ”字段中,键入说明为何要移动警报的注释。
选择面板底部的“ 保存” 以执行移动。
将警报或警报链接到新事件
如果选择了“ 创建新事件”,则只需输入注释,说明为何要移动警报。
选择面板底部的“ 保存” 以执行移动。
该过程完成后,将创建一个新事件,其中包含已移动到该事件的警报或警报。 根据警报或警报的名称自动为事件指定一个名称。
活动日志
当警报与事件关联时,会将一条消息写入事件的活动日志,证明该警报与事件相关。 此消息是在以下任一情况下编写的:
- 警报创建并自动关联到新的或现有的事件。
- 警报与一个事件取消链接,并链接到另一个事件。 该消息显示在目标事件的日志中。