Freigeben über

Verschieben von Warnungen von einem Incident in einen anderen im Microsoft Defender-Portal

  • Artikel
  • Gilt für::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Obwohl Microsoft Defender bereits erweiterte Korrelationsmechanismen verwendet, möchten Sie möglicherweise anders entscheiden, ob eine bestimmte Warnung zu einem bestimmten Incident gehört oder nicht. In einem solchen Fall können Sie eine Warnung von einem Incident trennen und an einen anderen anfügen. Jede Warnung muss zu einem Incident gehören. Daher müssen Sie die Warnung entweder an einen anderen vorhandenen Vorfall oder an einen neuen Incident anfügen, den Sie vor Ort erstellen.

In diesem Artikel wird erläutert, wie Sie Warnungen von einem Incident in einen anderen verschieben.

Voraussetzungen

  • Benutzer müssen über Berechtigungen zum Anzeigen der Incidentwarteschlange verfügen.
  • Benutzer müssen über Lese- und Schreibberechtigungen für alle Warnungen verfügen, die sie zwischen Incidents verschieben möchten.

Zugreifen auf den Bereich zum Verschieben von Warnungen

Es gibt viele Möglichkeiten, um zu diesem Panel zu gelangen. Sie können von überall aus darauf zugreifen, wo Sie Warnungen auswählen oder Maßnahmen ergreifen können. Zum Beispiel:

Wählen Sie an einer der folgenden Speicherorte eine oder mehrere Warnungen aus, indem Sie die Kontrollkästchen am Anfang ihrer Zeilen markieren. Wenn eine oder mehrere Warnungen markiert sind, wird die Schaltfläche Warnungen in einen anderen Incident verschieben auf der Symbolleiste angezeigt.

  • Die Incidents-Warteschlange . Erweitern Sie einen bestimmten Incident, um die darin enthaltenen Warnungen anzuzeigen.
  • Die Registerkarte Warnungen auf der Seite mit den Incidentdetails.
  • Die Warnungswarteschlange .

Außerdem wird im Detailbereich auf einer Warnungsdetailseite immer die Schaltfläche Warnung in einen anderen Incident verschieben angezeigt.

Auswählen der zu verschiebenden Warnungen

  1. Öffnen Sie einen der im vorherigen Abschnitt erwähnten Speicherorte.

  2. Wählen Sie die Warnungen aus, die Sie verschieben möchten, indem Sie die Kontrollkästchen am Anfang ihrer Zeilen in der Warteschlange aktivieren. Wenn eine oder mehrere Warnungen markiert sind, wird die Schaltfläche Warnungen in einen anderen Incident verschieben auf der Symbolleiste angezeigt.

    Screenshot: Auswählen von Warnungen aus der Warteschlange, um zu einem anderen Incident zu wechseln

  3. Wählen Sie auf der Symbolleiste Warnungen in einen anderen Incident verschieben aus. Ein Flyoutbereich wird geöffnet. Wenn Sie nur eine Warnung ausgewählt haben, wird der Bereich Warnung in einen anderen Incident verschieben bezeichnet. Wenn Sie zwei oder mehr Warnungen ausgewählt haben, lautet die Bezeichnung Mehrere Warnungen in einen anderen Incident verschieben. In allen anderen Aspekten ist es das gleiche Panel.

  4. Wenn die Warnungen zu einem anderen vorhandenen Incident gehören, wählen Sie Mit einem vorhandenen Incident verknüpfen aus. Wählen Sie andernfalls Neuen Incident erstellen aus. Warnungen müssen zu einem Incident gehören.

Verschieben von Warnungen oder Warnungen in einen vorhandenen Incident

  1. Wenn Sie Link zu einem vorhandenen Incident ausgewählt haben, wird unmittelbar nach der Auswahl ein neues Textfeld, der Incidentname oder die ID angezeigt. Beginnen Sie mit der Eingabe des Namens oder der ID des Incidents, an den Sie die Warnung oder Warnungen anfügen möchten. Während der Eingabe wird die Liste der verfügbaren Incidents dynamisch angezeigt und nach Ihrer Eingabe gefiltert. Wenn sie in der Liste angezeigt wird, wählen Sie sie aus.

    Screenshot: Auswählen eines vorhandenen Incidents, in den eine Warnung verschoben werden soll

  2. Geben Sie im Feld Kommentar einen Kommentar ein, der erklärt, warum Sie die Warnungen verschieben möchten.

    Screenshot: Hinzufügen eines Kommentars, der erklärt, warum eine Warnung verschoben wird

  3. Wählen Sie unten im Bereich Speichern aus, um die Verschiebung auszuführen.

Verschieben von Warnungen oder Warnungen in einen neuen Incident

  1. Wenn Sie Neuen Incident erstellen ausgewählt haben, müssen Sie lediglich einen Kommentar eingeben, in dem erläutert wird, warum Sie die Warnungen verschieben möchten.

  2. Wählen Sie unten im Bereich Speichern aus, um die Verschiebung auszuführen.

    Screenshot: Auswählen eines neuen Incidents, in den eine Warnung verschoben werden soll

    Wenn der Prozess abgeschlossen ist, wird ein neuer Incident mit der Warnung oder den Warnungen erstellt, in die Sie verschoben haben. Der Incident erhält automatisch einen Namen, der auf dem Namen der Warnung oder warnungen basiert.

Aktivitätsprotokoll

Wenn eine Warnung mit einem Incident korreliert wird, wird eine Nachricht in das Aktivitätsprotokoll des Incidents geschrieben, die bestätigt, dass die Warnung mit diesem korreliert wurde. Diese Nachricht wird in einer der folgenden Situationen geschrieben:

  • Eine Warnung wird erstellt und automatisch mit einem neuen oder vorhandenen Incident korreliert.
  • Eine Warnung wird von einem Incident in einen anderen verschoben. Die Meldung wird im Protokoll des Zielvorfalls angezeigt.

Siehe auch