Länka frågeresultat till ett problem
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
- Microsoft Defender för Endpoint
Med länken till incidentfunktionen kan du lägga till avancerade frågeresultat för sökning i en ny eller befintlig händelse som vi undersöka. Med den här funktionen kan du enkelt hämta poster från avancerad sökning så att du kan skapa en rikare tidslinje eller händelsesammanhang om en händelse.
Länka resultat till nya eller befintliga incidenter
På sidan för avancerad fråga för sökning anger du först frågan i frågefältet och väljer sedan Kör fråga för att visa resultatet.
På sidan Resultat väljer du de händelser eller poster som är relaterade till en ny eller aktuell undersökning som du arbetar med och väljer sedan Länka till incident.
Leta reda på avsnittet Aviseringsinformation i fönstret Länka till incident och välj sedan Skapa ny incident om du vill konvertera händelserna till aviseringar och gruppera dem till ett nytt incident:
Eller välj Länka till en befintlig händelse om du vill lägga till de valda posterna i en befintlig. Välj incidenten i listrutan över befintliga incidenter. Du kan också ange de första tecknen i incidentens namn eller ID om du vill leta reda på den befintliga händelsen.
Ange följande information för något av markeringarna och välj sedan Nästa:
- Aviseringsrubrik – ange en beskrivande rubrik för de resultat som incidentsvararna kan förstå. Detta blir aviseringstiteln.
- Allvarlighetsgrad – Välj den allvarlighetsgrad som gäller för gruppen med aviseringar.
- Kategori – Välj lämplig hotkategori för aviseringarna.
- Beskrivning – Ge en användbar beskrivning av de grupperade aviseringarna.
- Rekommenderade åtgärder – Ange åtgärder.
I avsnittet Berörda enheter väljer du den viktigaste påverkade eller påverkade entiteten. Endast tillämpliga enheter baserat på frågeresultaten visas i det här avsnittet. I vårt exempel använde vi en fråga för att hitta händelser relaterade till ett möjligt exfiltreringshändelse, och därför är avsändaren den påverkade enheten. Om det finns fyra olika avsändare, till exempel skapas fyra aviseringar som kopplas till den valda händelsen.
Välj Nästa.
Granska informationen som du har angett i avsnittet Sammanfattning.
Välj Klar.
Visa länkade poster i incidenten
Du kan välja namnet på händelsen om du vill visa den händelse som händelserna är kopplade till.
I vårt exempel har de fyra aviseringarna, som representerar de fyra markerade händelserna, kopplats till ett nytt incident.
På var och en av aviseringssidorna hittar du fullständig information om händelsen eller händelserna i tidslinjevyn (om den är tillgänglig) och vyn med frågeresultat.
Du kan också välja händelsen för att öppna fönstret Inspektera post.
Filter för händelser som lagts till med avancerad sökning
Du kan visa vilka aviseringar som genererats från avancerad sökning genom att filtrera kön Incidenter och kön Aviseringar efter källa för manuell identifiering.