在 Microsoft Defender 入口網站中將警示從一個事件移至另一個事件
雖然 Microsoft Defender 已經使用進階相互關聯機制,但您可能想要以不同的方式決定指定的警示是否屬於特定事件。 在這種情況下,您可以將警示從一個事件中斷連結,並附加至另一個事件。 每個警示都必須屬於事件,因此您必須將警示附加至另一個現有的事件,或附加至您在現場建立的新事件。
本文說明如何將警示從一個事件移至另一個事件。
必要條件
- 用戶必須具有檢視事件佇列的許可權。
- 用戶必須擁有想要在事件之間移動之所有警示的讀取和寫入許可權。
存取面板以移動警示
有許多方法可以進入此面板。 您可以從任何位置存取它,以選取警示或對警示採取動作。 例如:
在下列任何位置中,選取一或多個警示,方法是在數據列開頭標記複選框。 標示一或多個警示時,工具列上會出現 [ 將警示移至另一個事件 ] 按鈕。
- 事件佇列。 展開指定的事件以顯示其包含的警示。
- 事件詳細數據頁面上的 [ 警示 ] 索引標籤。
- 警示佇列。
此外,在警示詳細數據頁面上的詳細數據面板上,一律會出現 [ 將警示移至另一個事件 ] 按鈕。
選取要移動的警示或警示
開啟上一節所述的其中一個位置。
選取您想要移動的警示或警示,方法是在佇列中數據列的開頭標記複選框。 標示一或多個警示時,工具列上會出現 [ 將警示移至另一個事件 ] 按鈕。
從工具列選取 [將警示移至另一個事件 ]。 飛出視窗面板隨即開啟。 如果您只選取一個警示,面板會標示為 將警示移至另一個事件。 如果您選取兩個或多個警示,則會標示為 將多個警示移至另一個事件。 在所有其他方面,都是相同的面板。
如果警示或警示屬於另一個現有的事件,請選取 [鏈接至現有的事件]。 否則,請選 取 [建立新事件]。 警示必須屬於事件。
將警示或警示移至現有的事件
如果您選取 [ 鏈接至現有事件],新的文字欄位[ 事件名稱] 或 [標識符] 會緊接在選取專案後面。 開始輸入您要附加警示或警示的事件名稱或識別碼。 當您輸入時,可用事件的清單會以動態方式顯示,並依您輸入的內容進行篩選。 當您在清單中看到您想要的清單時,請加以選取。
在 [ 批注 ] 欄位中,輸入批注,說明為何要移動警示。
選取面板底部的 [儲存] 以執行移動。
將警示或警示移至新事件
如果您選取 [ 建立新事件],則只需要輸入批注,說明為何要移動警示。
選取面板底部的 [儲存] 以執行移動。
當程式完成時,會建立新事件,其中包含您移至其中的警示或警示。 事件會根據警示或警示的名稱自動指定名稱。
活動記錄
當警示與事件相互關聯時,會將訊息寫入事件的活動記錄檔,證明警示與其相互關聯。 此訊息會在下列任一情況下撰寫:
- 系統會建立警示,並自動與新的或現有的事件相互關聯。
- 警示會從一個事件移至另一個事件。 訊息會出現在目的地事件的記錄檔中。