Länka frågeresultat till ett problem

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender
  • Microsoft Defender för Endpoint

Med länken till incidentfunktionen kan du lägga till avancerade frågeresultat för sökning i en ny eller befintlig händelse som vi undersöka. Med den här funktionen kan du enkelt hämta poster från avancerad sökning så att du kan skapa en rikare tidslinje eller händelsesammanhang om en händelse.

  1. På sidan för avancerad fråga för sökning anger du först frågan i frågefältet och väljer sedan Kör fråga för att visa resultatet.

    Ett exempel på **Query**-sidan i Microsoft 365 Defender portalen

  2. På sidan Resultat väljer du de händelser eller poster som är relaterade till en ny eller aktuell undersökning som du arbetar med och väljer sedan Länka till incident.

    Alternativet **Länka till incident** på fliken **Resultat** i Microsoft 365 Defender portalen

  3. Leta reda på avsnittet Aviseringsinformation i fönstret Länka till incident och välj sedan Skapa ny incident om du vill konvertera händelserna till aviseringar och gruppera dem till ett nytt incident:

    Ett exempel på avsnittet **Aviseringsinformation** i fönstret **Länka till incident** i Microsoft 365 Defender portalen

    Eller välj Länka till en befintlig händelse om du vill lägga till de valda posterna i en befintlig. Välj incidenten i listrutan över befintliga incidenter. Du kan också ange de första tecknen i incidentens namn eller ID om du vill leta reda på den befintliga händelsen.

    Ett exempel på **Aviseringsinformation** i fönstret **Länka till incident** i Microsoft 365 Defender portalen

  4. Ange följande information för något av markeringarna och välj sedan Nästa:

    • Aviseringsrubrik – ange en beskrivande rubrik för de resultat som incidentsvararna kan förstå. Detta blir aviseringstiteln.
    • Allvarlighetsgrad – Välj den allvarlighetsgrad som gäller för gruppen med aviseringar.
    • Kategori – Välj lämplig hotkategori för aviseringarna.
    • Beskrivning – Ge en användbar beskrivning av de grupperade aviseringarna.
    • Rekommenderade åtgärder – Ange åtgärder.
  5. I avsnittet Berörda enheter väljer du den viktigaste påverkade eller påverkade entiteten. Endast tillämpliga enheter baserat på frågeresultaten visas i det här avsnittet. I vårt exempel använde vi en fråga för att hitta händelser relaterade till ett möjligt exfiltreringshändelse, och därför är avsändaren den påverkade enheten. Om det finns fyra olika avsändare, till exempel skapas fyra aviseringar som kopplas till den valda händelsen.

    Ett exempel på en påverkade entitet i avsnittet **Länk till incident** i Microsoft 365 Defender portalen

  6. Välj Nästa.

  7. Granska informationen som du har angett i avsnittet Sammanfattning. Ett exempel på resultatsidan i avsnittet **Länk till incident** i Microsoft 365 Defender portalen

  8. Välj Klar.

Visa länkade poster i incidenten

Du kan välja namnet på händelsen om du vill visa den händelse som händelserna är kopplade till. Ett exempel på skärmen med händelseinformation på fliken **Sammanfattning** i Microsoft 365 Defender portalen

I vårt exempel har de fyra aviseringarna, som representerar de fyra markerade händelserna, kopplats till ett nytt incident.

På var och en av aviseringssidorna hittar du fullständig information om händelsen eller händelserna i tidslinjevyn (om den är tillgänglig) och vyn med frågeresultat. Ett exempel på fullständig information om en händelse på fliken **Tidslinje** i Microsoft 365 Defender portalen

Du kan också välja händelsen för att öppna fönstret Inspektera post. Ett exempel på att kontrollera postinformation för en händelse på fliken **Tidslinje** i Microsoft 365 Defender portalen

Filter för händelser som lagts till med avancerad sökning

Du kan visa vilka aviseringar som genererats från avancerad sökning genom att filtrera kön Incidenter och kön Aviseringar efter källa för manuell identifiering.

Ett exempel på manuell filtrering av kö för incidenter och aviseringar på sidan **Filter** i Microsoft 365 Defender portalen