Verknüpfen von Abfrageergebnissen mit einem Vorfall

Gilt für:

• Microsoft Defender XDR

Sie können das Feature link to incident verwenden, um erweiterte Huntingabfrageergebnisse zu einem neuen oder vorhandenen Vorfall hinzuzufügen, der untersucht wird. Mit diesem Feature können Sie ganz einfach Datensätze aus erweiterten Hunting-Aktivitäten erfassen, sodass Sie eine umfangreichere Zeitleiste oder einen Kontext von Ereignissen in Bezug auf einen Incident erstellen können.

Verknüpfen von Ergebnissen mit neuen oder vorhandenen Vorfällen

1. Geben Sie auf der Seite erweiterte Suchabfrage zuerst Ihre Abfrage in das angegebene Abfragefeld ein, und wählen Sie dann Abfrage ausführen aus, um Ihre Ergebnisse zu erhalten.

   

2. Wählen Sie auf der Seite Ergebnisse die Ereignisse oder Datensätze aus, die sich auf eine neue oder aktuelle Untersuchung beziehen, an der Sie gerade arbeiten, und wählen Sie dann Mit Incident verknüpfen aus.

   

3. Suchen Sie im Bereich Mit Incident verknüpfen den Abschnitt Warnungsdetails, und wählen Sie dann Create neuen Incident aus, um die Ereignisse in Warnungen zu konvertieren und sie in einen neuen Incident zu gruppieren:

   

   Oder wählen Sie Link zu einem vorhandenen Incident aus, um die ausgewählten Datensätze einem vorhandenen Incident hinzuzufügen. Wählen Sie den zugehörigen Incident aus der Dropdownliste der vorhandenen Vorfälle aus. Sie können auch die ersten Zeichen des Incidentnamens oder der ID eingeben, um den vorhandenen Incident zu finden.

   

4. Geben Sie für beide Optionen die folgenden Details an, und wählen Sie dann Weiter aus:

   • Warnungstitel : Geben Sie einen beschreibenden Titel für die Ergebnisse an, die Ihre Incident-Responder verstehen können. Dieser beschreibende Titel wird zum Warnungstitel.
   • Schweregrad : Wählen Sie den Schweregrad aus, der für die Gruppe von Warnungen gilt.
   • Kategorie : Wählen Sie die geeignete Bedrohungskategorie für die Warnungen aus.
   • Beschreibung : Geben Sie eine hilfreiche Beschreibung für die gruppierten Warnungen an.
   • Empfohlene Aktionen : Stellen Sie Wartungsaktionen bereit.

5. Wählen Sie im Abschnitt Betroffene Entitäten die Standard betroffene oder betroffene Entität aus. In diesem Abschnitt werden nur die anwendbaren Entitäten angezeigt, die auf den Abfrageergebnissen basieren. In unserem Beispiel haben wir eine Abfrage verwendet, um Ereignisse im Zusammenhang mit einem möglichen E-Mail-Exfiltrationsvorfall zu finden. Daher ist der Absender die betroffenen Entitäten. Wenn vier verschiedene Absender vorhanden sind, werden für instance vier Warnungen erstellt und mit dem ausgewählten Incident verknüpft.

   

6. Wählen Sie Weiter aus.

7. Überprüfen Sie die Details, die Sie im Abschnitt Zusammenfassung angegeben haben.

8. Wählen Sie Fertig aus.

Anzeigen verknüpfter Datensätze im Incident

Sie können den Incidentnamen auswählen, um den Incident anzuzeigen, mit dem die Ereignisse verknüpft sind.

In unserem Beispiel wurden die vier Warnungen, die die vier ausgewählten Ereignisse darstellen, erfolgreich mit einem neuen Incident verknüpft.

Auf jeder der Warnungsseiten finden Sie die vollständigen Informationen zu dem Ereignis oder den Ereignissen in Zeitleiste Ansicht (sofern verfügbar) und der Abfrageergebnisansicht.

Sie können auch das Ereignis auswählen, um den Bereich Datensatz überprüfen zu öffnen.

Filtern nach Ereignissen, die mithilfe der erweiterten Suche hinzugefügt wurden

Sie können anzeigen, welche Warnungen bei der erweiterten Suche generiert wurden, indem Sie die Incidents-Warteschlange und die Warnungswarteschlange nach der Quelle der manuellen Erkennung filtern.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.