Jaa

Ilmoitusten siirtäminen tapahtumasta toiseen Microsoft Defender portaalissa

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Vaikka Microsoft Defender käyttääkin jo kehittyneitä korrelaatiomekanismeja, haluat ehkä päättää eri tavalla, kuuluuko tietty ilmoitus tiettyyn tapahtumaan vai ei. Tässä tapauksessa voit irrottaa ilmoituksen yhdestä tapauksesta ja liittää sen toiseen. Jokaisen hälytyksen on kuuluttava tapahtumaan, joten sinun on liitettävä hälytys joko toiseen olemassa olevaan tapahtumaan tai uuteen tapahtumaan, jonka luot paikan päällä.

Tässä artikkelissa kerrotaan, miten voit siirtää hälytyksiä tapahtumasta toiseen.

Ennakkovaatimukset

  • Käyttäjillä on oltava oikeus tarkastella tapahtumien jonoa.
  • Käyttäjillä on oltava luku- ja kirjoitusoikeudet kaikkiin hälytyksiin, joita he haluavat siirtää tapausten välillä.

Käytä paneelia ilmoitusten siirtämiseksi

Tähän paneeliin pääsee monella tavalla. Voit käyttää sitä mistä tahansa, missä voit valita ilmoituksia tai ryhtyä toimiin. Esimerkki:

Valitse jossakin seuraavista sijainneista vähintään yksi ilmoitus merkitsemällä valintaruudut rivien alkuun. Kun vähintään yksi ilmoitus on merkitty, Työkalurivillä näkyy Siirrä ilmoitukset toiseen tapaus -painike.

  • Tapahtumat-jono. Laajenna tietty tapaus ja paljasta sen sisältämät hälytykset.
  • Tapahtuman tiedot -sivun Ilmoitukset-välilehti .
  • Ilmoitukset-jono.

Lisäksi ilmoituksen tietosivun tietopaneelissa näkyy aina Siirrä ilmoitus toiseen tapaus -painike.

Valitse siirrettävä ilmoitus tai ilmoitukset

  1. Avaa jokin edellisessä osiossa mainituista sijainneista.

  2. Valitse siirrettävä ilmoitus tai ilmoitukset merkitsemällä valintaruudut jonon rivien alkuun. Kun vähintään yksi ilmoitus on merkitty, Työkalurivillä näkyy Siirrä ilmoitukset toiseen tapaus -painike.

    Näyttökuva ilmoitusten valitsemisesta jonosta toiseen tapahtumaan siirtymistä vastaan.

  3. Valitse Työkaluriviltä Siirrä ilmoitukset toiseen tapahtumaan . Näyttöön avautuu pikaikkunapaneeli. Jos valitsit vain yhden ilmoituksen, paneelin nimi on Siirrä ilmoitus toiseen tapaukseen. Jos valitsit vähintään kaksi ilmoitusta, sen nimi on Siirrä useita ilmoituksia toiseen tapahtumaan. Kaikissa muissa asioissa se on sama paneeli.

  4. Jos ilmoitus tai hälytykset kuuluvat toiseen olemassa olevaan tapahtumaan, valitse Linkitä olemassa olevaan tapaukseen. Muussa tapauksessa valitse Luo uusi tapaus. Ilmoitusten on kuuluttava tapahtumaan.

Siirrä ilmoitus tai hälytykset olemassa olevaan tapahtumaan

  1. Jos valitsit Linkin aiemmin luotuun tapaukseen, uusi tekstikenttä , Tapauksen nimi tai tunnus, tulee heti valinnan jälkeen. Ala kirjoittaa sen tapahtuman nimeä tai tunnusnumeroa, johon haluat liittää ilmoituksen tai hälytykset. Kirjoitettaessa käytettävissä olevien tapausten luettelo näytetään ja suodatetaan dynaamisesti kirjoittamasi mukaan. Kun näet haluamasi luettelon, valitse se.

    Näyttökuva aiemmin luodun tapauksen valitsemisesta ilmoituksen siirtämiseksi.

  2. Kirjoita Kommentti-kenttään kommentti, jossa kerrotaan, miksi haluat siirtää hälytykset.

    Näyttökuva hälytyksen siirtämisen syyn selittävän kommentin lisäämisestä.

  3. Suorita siirto valitsemalla paneelin alareunasta Tallenna .

Siirrä ilmoitus tai hälytykset uuteen tapahtumaan

  1. Jos valitsit Luo uusi tapaus, sinun tarvitsee vain kirjoittaa kommentti, jossa kerrotaan, miksi haluat siirtää hälytykset.

  2. Suorita siirto valitsemalla paneelin alareunasta Tallenna .

    Näyttökuva uuden tapauksen valitsemisesta ilmoituksen siirtämiseksi.

    Kun prosessi on valmis, uusi tapaus luodaan ilmoituksella tai hälytyksillä, jotka olet siirtänyt siihen. Tapahtumalle annetaan nimi automaattisesti hälytyksen tai hälytysten nimen perusteella.

Toimintoloki

Kun ilmoitus korreloi tapahtuman kanssa, tapahtuman toimintalokiin kirjoitetaan viesti, joka osoittaa, että ilmoitus korreloi sen kanssa. Tämä viesti on kirjoitettu jossakin seuraavista syistä:

  • Luodaan ilmoitus, joka korreloi automaattisesti uuden tai olemassa olevan tapauksen kanssa.
  • Ilmoitus siirretään tapahtumasta toiseen. Viesti tulee näkyviin kohdetapauksen lokiin.

Tutustu myös seuraaviin ohjeartikkeleihin: