Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在调查事件,但我需要将它们与处理该事件的SOC 分析师联系起来,以及他们添加了哪些评论。我无法在任何表格中找到这些详细信息。这将有助于为 SOC 团队提取指标。我在哪里可以找到这些信息?
可以理解的是,这些现在很难暴露。它们位于 AzureActivity 表中(启用了 Azure 活动数据连接器)。
我们将很快通过一个特定于事件的新表使这变得更容易。
在此期间,这里有一个 KQL 片段,您可以使用它开始筛选 AzureActivity 表中事件的结果:
Azure活动 | 其中 _ResourceId 具有“Microsoft.SecurityInsights”,_ResourceId 具有“事件”