Megosztás a következőn keresztül:

Riasztások áthelyezése egyik incidensből a másikba a Microsoft Defender portálon

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Bár Microsoft Defender már fejlett korrelációs mechanizmusokat használ, érdemes lehet másként eldönteni, hogy egy adott riasztás egy adott incidenshez tartozik-e, vagy sem. Ilyen esetben leválaszthat egy riasztást az egyik incidensről, és csatolhatja egy másikhoz. Minden riasztásnak egy incidenshez kell tartoznia, ezért a riasztást vagy egy másik meglévő incidenshez, vagy egy helyben létrehozott új incidenshez kell csatolnia.

Ez a cikk azt ismerteti, hogyan helyezhet át riasztásokat az egyik incidensből a másikba.

Előfeltételek

  • A felhasználóknak engedélyekkel kell rendelkezniük az incidensek üzenetsorának megtekintéséhez.
  • A felhasználóknak olvasási és írási engedélyekkel kell rendelkezniük az incidensek között áthelyezni kívánt összes riasztáshoz.

A panel elérése a riasztások áthelyezéséhez

Ezt a panelt sokféleképpen érheti el. Bárhonnan elérheti, ahol riasztásokat választhat ki, vagy műveletet hajthat végre. Például:

Az alábbi helyek bármelyikén jelöljön ki egy vagy több riasztást úgy, hogy bejelöli a jelölőnégyzeteket a sorok elején. Ha egy vagy több riasztás meg van jelölve, megjelenik a Riasztások áthelyezése egy másik incidensbe gomb az eszköztáron.

  • Az Incidensek üzenetsor. Bontsa ki az adott incidenst a benne található riasztások megjelenítéséhez.
  • Az incidens részleteinek lapján található Riasztások lap.
  • A Riasztások üzenetsor.

Emellett a riasztás részleteit tartalmazó lap részletek paneljén mindig megjelenik a Riasztás áthelyezése egy másik incidensbe gomb.

Válassza ki az áthelyezni kívánt riasztást vagy riasztásokat

  1. Nyissa meg az előző szakaszban említett helyek egyikét.

  2. Jelölje ki az áthelyezni kívánt riasztást vagy riasztásokat, ha bejelöli a jelölőnégyzeteket a soruk elején az üzenetsorban. Ha egy vagy több riasztás meg van jelölve, megjelenik a Riasztások áthelyezése egy másik incidensbe gomb az eszköztáron.

    Képernyőkép az üzenetsor riasztásainak kiválasztásáról egy másik incidensre való áttéréshez.

  3. Válassza a Riasztások áthelyezése egy másik incidensbe lehetőséget az eszköztáron. Ekkor megnyílik egy úszó panel. Ha csak egy riasztást jelölt ki, a panelen a Riasztás áthelyezése egy másik incidensbe feliratú. Ha két vagy több riasztást jelölt ki, a több riasztás áthelyezése egy másik incidensbe címkével van ellátva. Minden más szempontból, ez ugyanaz a panel.

  4. Ha a riasztás vagy a riasztások egy másik meglévő incidenshez tartoznak, válassza a Csatolás meglévő incidenshez lehetőséget. Ellenkező esetben válassza az Új incidens létrehozása lehetőséget. A riasztásnak egy incidenshez kell tartoznia.

Riasztás vagy riasztások áthelyezése meglévő incidensbe

  1. Ha a Csatolás meglévő incidenshez lehetőséget választotta, a kijelölés után azonnal megjelenik egy új szövegmező, az Incidens neve vagy azonosítója. Kezdje el beírni annak az incidensnek a nevét vagy azonosítószámát, amelyhez a riasztást vagy riasztásokat csatolni szeretné. Gépelés közben az elérhető incidensek listája dinamikusan jelenik meg és szűrve lesz a beírt adatok alapján. Amikor megjelenik a kívánt elem a listában, jelölje ki.

    Képernyőkép egy meglévő incidens kiválasztásáról egy riasztás áthelyezéséhez.

  2. A Megjegyzés mezőbe írjon be egy megjegyzést, amely elmagyarázza, hogy miért szeretné áthelyezni a riasztásokat.

    Képernyőkép egy megjegyzés hozzáadásáról, amely elmagyarázza, hogy miért helyez át egy riasztást.

  3. Az áthelyezés végrehajtásához válassza a panel alján található Mentés lehetőséget.

Riasztás vagy riasztások áthelyezése új incidensbe

  1. Ha az Új incidens létrehozása lehetőséget választotta, csak annyit kell tennie, hogy megjegyzést ad meg, amely elmagyarázza, miért szeretné áthelyezni a riasztásokat.

  2. Az áthelyezés végrehajtásához válassza a panel alján található Mentés lehetőséget.

    Képernyőkép egy új incidens kiválasztásáról a riasztás áthelyezéséhez.

    A folyamat befejeztével egy új incidens jön létre az áthelyezett riasztással vagy riasztásokkal együtt. Az incidens neve automatikusan a riasztás vagy riasztások neve alapján lesz megadva.

Tevékenységnapló

Ha egy riasztás egy incidenssel van korrelálva, a rendszer egy üzenetet ír az incidens tevékenységnaplójába, amely igazolja, hogy a riasztás korrelációban volt vele. Ez az üzenet a következő körülmények valamelyikében íródott:

  • A rendszer létrehoz egy riasztást, és automatikusan korrelál egy új vagy meglévő incidenssel.
  • A riasztások átkerülnek az egyik incidensből a másikba. Az üzenet megjelenik a célesemény naplójában.

Lásd még