Megosztás a következőn keresztül:

Lekérdezés eredményeinek csatolása incidenshez

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

Az incidensre mutató hivatkozással speciális veszélyforrás-keresési lekérdezési eredményeket adhat hozzá egy vizsgálat alatt álló új vagy meglévő incidenshez. Ezzel a funkcióval egyszerűen rögzítheti a speciális veszélyforrás-keresési tevékenységek rekordjait, így gazdagabb idősort vagy eseménykörnyezetet hozhat létre az incidensekkel kapcsolatban.

  1. A speciális veszélyforrás-keresési lekérdezés oldalon először írja be a lekérdezést a megadott lekérdezésmezőbe, majd válassza a Lekérdezés futtatása lehetőséget az eredmények lekéréséhez.

    Képernyőkép a speciális veszélyforrás-keresés oldaláról a Microsoft Defender portálon.

  2. Az Eredmények lapon jelölje ki azokat az eseményeket vagy rekordokat, amelyek egy új vagy aktuális vizsgálathoz kapcsolódnak, amelyen dolgozik, majd válassza a Csatolás incidenshez lehetőséget.

    Képernyőkép a speciális veszélyforrás-keresés incidensfunkciójára mutató hivatkozásról a Microsoft Defender portálon.

  3. Keresse meg a Riasztás részletei szakaszt a Hivatkozás incidenshez panelen, majd válassza az Új incidens létrehozása lehetőséget az események riasztássá alakításához és új incidenssé való csoportosításához:

    Vagy válassza a Csatolás meglévő incidenshez lehetőséget a kijelölt rekordok meglévőhöz való hozzáadásához. Válassza ki a kapcsolódó incidenst a meglévő incidensek legördülő listájából. A meglévő incidens megkereséséhez megadhatja az incidens nevének vagy azonosítójának első néhány karakterét is.

    Képernyőkép a Microsoft Defender portál mentett lekérdezéseiben elérhető lehetőségekről.

  4. Mindkét kijelölésnél adja meg a következő adatokat, majd válassza a Tovább gombot:

    • Riasztás címe – Adjon meg egy leíró címet az incidens válaszadói számára érthető eredményekhez. Ez a leíró cím lesz a riasztás címe.
    • Súlyosság – Válassza ki a riasztások csoportjára vonatkozó súlyosságot.
    • Kategória – Válassza ki a riasztásoknak megfelelő fenyegetéskategóriát.
    • Leírás – Adjon hasznos leírást a csoportosított riasztásokról.
    • Javasolt műveletek – Szervizelési műveletek megadása.

  5. Az Entitások szakaszban megtalálhatja, hogy mely entitások használhatók a kapcsolódó incidenshez kapcsolódó egyéb riasztások korrelálásához. Az incidens oldalán is megjelennek. Az előre kijelölt entitásokat az alábbiak szerint tekintheti át:

    a. Érintett eszközök – A kiválasztott események által érintett objektumok a következőek lehetnek:

    • Számla
    • Eszköz
    • Postaláda
    • Felhőalkalmazás
    • Azure-erőforrás
    • Amazon Web Services-erőforrás
    • Google Cloud Platform-erőforrás

    b. Kapcsolódó bizonyítékok – A kiválasztott eseményekben megjelenő nem objektumok. A támogatott entitástípusok a következők:

    • Folyamat
    • Fájl
    • Beállításazonosító
    • IP
    • OAuth-alkalmazás
    • DNS
    • Biztonsági csoport
    • URL
    • Levelezőfürt
    • E-mail üzenet

  6. Miután kiválasztott egy entitástípust, válasszon ki egy azonosítótípust, amely létezik a kijelölt rekordokban, hogy az használható legyen az entitás azonosítására. Minden entitástípus rendelkezik a támogatott azonosítók listájával, ahogyan az a vonatkozó legördülő listában látható. A jobb megértés érdekében olvassa el az egyes azonosítókra mutatáskor megjelenő leírást.

  7. Az azonosító kiválasztása után válasszon ki egy oszlopot a lekérdezés eredményei közül, amely a kiválasztott azonosítót tartalmazza. A Lekérdezések és eredmények felfedezése lehetőséget választva megnyithatja a speciális veszélyforrás-keresési környezet panelt. Így megvizsgálhatja a lekérdezést és az eredményeket, és meggyőződhet arról, hogy a megfelelő oszlopot választotta ki a kiválasztott azonosítóhoz.
    Képernyőkép az incidensvarázsló entitásokra mutató hivatkozásról a Microsoft Defender portálon.
    A példánkban egy lekérdezéssel kerestük meg az e-mail-kiszűrési incidenssel kapcsolatos eseményeket, ezért a címzett postaládája és a címzett fiókja az érintett entitások, a feladó IP-címe és az e-mail-üzenet pedig kapcsolódó bizonyíték.

    Képernyőkép az incidensvarázsló teljes entitások ágára mutató hivatkozásról a Microsoft Defender portálon.

    Minden rekordhoz más riasztás jön létre az érintett entitások egyedi kombinációjával. Ha például három különböző címzett-postaláda és címzettobjektum-azonosító kombináció létezik, akkor a rendszer három riasztást hoz létre és csatol a kiválasztott incidenshez.

  8. Válassza a Tovább gombot.

  9. Tekintse át az Összefoglalás szakaszban megadott részleteket.

  10. Válassza a Kész lehetőséget.

Csatolt rekordok megtekintése az incidensben

A létrehozott hivatkozást a varázsló összefoglaló lépésében választhatja ki, vagy kiválaszthatja az incidens nevét az incidenssorból annak az incidensnek a megtekintéséhez, amelyhez az események kapcsolódnak.

Képernyőkép a Microsoft Defender portál incidensre mutató hivatkozás varázslójának összefoglaló lépéséről.

Példánkban a három kiválasztott eseményt képviselő három riasztás sikeresen összekapcsolva lett egy új incidenssel. Az egyes riasztási oldalakon megtalálja az eseményre vagy eseményekre vonatkozó teljes információkat idővonal nézetben (ha elérhető) és a lekérdezési eredmények nézetben.

Az eseményt az idősornézetből vagy a lekérdezési eredmények nézetből is kiválaszthatja a Rekord vizsgálata panel megnyitásához.

Képernyőkép az incidens oldaláról a Microsoft Defender portálon.

Speciális veszélyforrás-kereséssel hozzáadott események szűrése

Az incidensek és riasztások manuális észlelési forrás szerinti szűrésével megtekintheti, hogy mely riasztások jöttek létre a speciális veszélyforrás-keresésből.

Képernyőkép a speciális veszélyforrás-keresés szűrő legördülő menüjéről a Microsoft Defender portálon.