Связывание событий с алертами

Если во время расследования вы обнаружили событие, связанное с исследуемым алертом, вы можете связать это событие с алертом вручную.

Вы можете связать событие с алертом, если он имеет любой статус отличный от Закрыт.

Чтобы привязать событие к алерту:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты.
2. В списке алертов перейдите по ссылке с идентификатором алерта, с которым вы хотите связать событие.

   Откроется окно Детали алерта.

3. Перейдите в раздел Подробнее и нажмите на кнопку Найти в разделе Поиск угроз.

   Откроется раздел Поиск угроз. По умолчанию таблица событий содержит события, связанные с выбранным алертом.

   Таблица событий содержит только события, связанные с тенантами, к которым у вас есть доступ.

4. В верхней части окна откройте первый раскрывающийся список и выберите Хранилище.
5. Откройте третий раскрывающийся список и укажите период.

   Вы можете выбрать предопределенные периоды относительно текущей даты и времени и указать необходимый период, используя поля Начало периода и Окончание периода или выбрав даты в календаре.

6. Нажмите на кнопку Выполнить запрос.
7. В обновленном списке событий выберите событие, которое вы хотите связать с алертом и нажмите на Связать с алертом.

Выбранные события привязаны к алерту.