将查询结果链接到事件

  • 项目

适用于:

  • Microsoft Defender XDR

可以使用事件链接功能将高级搜寻查询结果添加到正在调查的新事件或现有事件。 此功能可帮助你轻松从高级搜寻活动捕获记录,从而可以创建更丰富的事件时间线或事件上下文。

  1. 在高级搜寻查询页中,首先在提供的查询字段中输入查询,然后选择“ 运行查询 ”以获取结果。

    Microsoft Defender门户中的“查询”页

  2. 在“结果”页中,选择与你正在处理的新调查或当前调查相关的事件或记录,然后选择“ 链接到事件”。

    Microsoft Defender门户中“结果”选项卡的“链接到事件”选项

  3. 在“事件链接”窗格中找到“警报详细信息”部分,然后选择“Create新事件”,将事件转换为警报并将其分组为新事件:

    Microsoft Defender门户中“事件链接”窗格中的“警报详细信息”部分

    或选择“ 链接到现有事件 ”,将所选记录添加到现有记录。 从现有事件的下拉列表中选择相关事件。 还可以输入事件名称或 ID 的前几个字符来查找现有事件。

    Microsoft Defender门户中的“警报详细信息”部分

  4. 对于任一选择,请提供以下详细信息,然后选择“ 下一步”:

    • 警报标题 - 为事件响应者可以理解的结果提供描述性标题。 此描述性标题将成为警报标题。
    • 严重性 - 选择适用于警报组的严重性。
    • 类别 - 为警报选择适当的威胁类别。
    • 说明 - 为分组警报提供有用的说明。
    • 建议的操作 - 提供修正操作。

  5. “受影响的实体”部分中,选择main受影响或受影响的实体。 此部分仅显示基于查询结果的适用实体。 在我们的示例中,我们使用查询来查找与可能的电子邮件外泄事件相关的事件,因此发件人是受影响的实体。 例如,如果有四个不同的发送方,则会创建四个警报并将其链接到所选事件。

    Microsoft Defender门户中“链接到事件”部分中受影响的实体

  6. 选择“下一步”。

  7. 查看在 “摘要 ”部分中提供的详细信息。 Microsoft Defender门户中“链接到事件”部分中的结果页

  8. 选择“完成”。

查看事件中的链接记录

可以选择事件名称以查看事件链接到的事件。 Microsoft Defender门户中“摘要”选项卡中的事件详细信息屏幕

在我们的示例中,表示四个选定事件的四个警报已成功链接到新事件。

在每个警报页中,可以在时间线视图中找到有关事件的完整信息, () 和查询结果视图可用。 Microsoft Defender门户中“时间线”选项卡中事件的完整详细信息

还可以选择事件以打开“ 检查记录 ”窗格。 Microsoft Defender门户中“时间线”选项卡中事件的检查记录详细信息

筛选使用高级搜寻添加的事件

可以通过按 手动 检测源筛选事件队列和警报队列来查看从高级搜寻生成的警报。

Microsoft Defender门户中的“筛选器”页中的“事件”和“警报”队列的手动筛选

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区