Связывание событий с алертами

Если во время расследования вы обнаружили событие, связанное с исследуемым алертом, вы можете связать это событие с алертом вручную.

Вы можете связать событие с алертом, если он имеет любой статус отличный от Закрыт.

Чтобы привязать событие к алерту:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчетыАлерты.
  2. В списке алертов перейдите по ссылке с идентификатором алерта, с которым вы хотите связать событие.

    Откроется окно Детали алерта.

  3. Перейдите в раздел Подробнее и нажмите на кнопку Найти в разделе Поиск угроз.

    Откроется раздел Поиск угроз. По умолчанию таблица событий содержит события, связанные с выбранным алертом.

    Таблица событий содержит только события, связанные с тенантами, к которым у вас есть доступ.

  4. В верхней части окна откройте первый раскрывающийся список и выберите Хранилище.
  5. Откройте третий раскрывающийся список и укажите период.

    Вы можете выбрать предопределенные периоды относительно текущей даты и времени и указать необходимый период, используя поля Начало периода и Окончание периода или выбрав даты в календаре.

  6. Нажмите на кнопку Выполнить запрос.
  7. В обновленном списке событий выберите событие, которое вы хотите связать с алертом и нажмите на Связать с алертом.

Выбранные события привязаны к алерту.

В начало