Kyselyn tulosten linkittäminen tapaukseen

  • Artikkeli

Huomautus

Haluatko kokea Microsoft Defender XDR:n? Lue lisätietoja siitä, miten voit arvioida Microsoft Defender XDR:n ja osallistua sen pilottikokeiluun.

Koskee seuraavia:

  • Microsoft Defender XDR

Voit lisätä kehittyneen metsästyskyselyn tulokset uuteen tai olemassa olevaan tutkittavaan tapahtumaan tapauslinkin avulla. Tämän ominaisuuden avulla voit helposti tallentaa tietoja kehittyneestä metsästystoiminnasta, jonka avulla voit luoda monipuolisemman aikajanan tai tapahtuman kontekstin tapahtumaan liittyen.

  1. Kirjoita kehittyneen metsästyksen kyselysivulle ensin kyselysi annettuun kyselykenttään ja valitse sitten Suorita kysely saadaksesi tuloksesi.

    kyselysivu Microsoft Defender portaalissa

  2. Valitse Tulokset-sivulla tapahtumat tai tietueet, jotka liittyvät uuteen tai nykyiseen tutkimukseen, jota käsittelet, ja valitse sitten Linkitä tapahtumaan.

    Microsoft Defender portaalin Tulokset-välilehden Linkitä tapahtumaan -vaihtoehto

  3. Etsi Ilmoitustiedot-osa Linkki tapahtumaan -ruudusta ja valitse sitten Luo uusi tapaus , jotta tapahtumat muunnetaan hälytyksiksi ja ryhmittele ne uudeksi tapahtumaksi:

    Ilmoituksen tiedot -osa Microsoft Defender-portaalin Linkki tapahtumaan -ruudussa

    Voit myös lisätä valitut tietueet aiemmin luotuun tapahtumaan valitsemalla Linkitä olemassa olevaan tapaukseen . Valitse aiheeseen liittyvä tapaus olemassa olevien tapausten avattavasta luettelosta. Voit myös kirjoittaa tapahtuman nimen tai tunnuksen ensimmäiset merkit olemassa olevan tapauksen löytämiseksi.

    ilmoituksen tiedot -osa Microsoft Defender portaalissa

  4. Anna jompaakumpaa valintaa varten seuraavat tiedot ja valitse sitten Seuraava:

    • Ilmoituksen otsikko – anna kuvaava otsikko tuloksille, jotka tapahtuman vastaajat voivat ymmärtää. Tästä kuvaavasta otsikosta tulee ilmoituksen otsikko.
    • Vakavuus – Valitse ilmoitusten ryhmään sovellettava vakavuus.
    • Luokka – Valitse hälytyksille asianmukainen uhkaluokka.
    • Description – Anna hyödyllinen kuvaus ryhmitetyille ilmoituksille.
    • Suositellut toiminnot – Tarjoa korjaustoimintoja.

  5. Valitse Vaikutus entiteetit-osassa se entiteetti, johon se vaikuttaa tai vaikuttaa. Tässä osiossa näkyvät vain kyselytuloksiin perustuvat käytettävissä olevat entiteetit. Esimerkissämme käytimme kyselyä löytääksemme tapahtumia, jotka liittyvät mahdolliseen sähköpostin suodatustapaukseen, joten lähettäjä on kyseessä oleva entiteetti. Jos lähettäjiä on esimerkiksi neljä, luodaan neljä ilmoitusta ja linkitetään valittuun tapaukseen.

    Entiteetti, jota tämä koskee Microsoft Defender portaalin Linkki tapahtumaan -osassa

  6. Valitse Seuraava.

  7. Tarkista Yhteenveto-osiossa antamasi tiedot. Microsoft Defender-portaalin Linkki tapahtumaan -osion tulossivu

  8. Valitse Valmis.

Näytä tapauksen linkitetyt tietueet

Voit valita tapahtuman nimen ja tarkastella tapahtumaa, johon tapahtumat on linkitetty. Tapahtuman tiedot -näyttö Microsoft Defender portaalin Yhteenveto-välilehdessä

Tässä esimerkissä neljä ilmoitusta, jotka edustavat neljää valittua tapahtumaa, linkitettiin onnistuneesti uuteen tapahtumaan.

Löydät tapahtuman tai tapahtumien täydelliset tiedot jokaisella ilmoitussivulla aikajananäkymässä (jos käytettävissä) ja kyselyn tulosnäkymässä. Kaikki tiedot tapahtumasta Microsoft Defender portaalin Aikajana-välilehdessä

Voit myös valita tapahtuman ja avata Tarkista tietue - ruudun. Tapahtuman tietuetietojen tarkistus Microsoft Defender portaalin Aikajana-välilehdessä

Suodata lisätyt tapahtumat kehittyneen metsästyksen avulla

Voit tarkastella kehittyneestä metsästyksestä luotuja ilmoituksia suodattamalla Tapahtumat-jonon ja Hälytykset-jonon manuaalisen tunnistuksen lähteen mukaan.

Tapahtumien ja hälytysten manuaalinen suodatusjono Microsoft Defender portaalin Suodattimet-sivulla

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.