0

我正在调查事件,但我需要将它们与处理该事件的SOC 分析师联系起来,以及他们添加了哪些评论。我无法在任何表格中找到这些详细信息。这将有助于为 SOC 团队提取指标。我在哪里可以找到这些信息?

4

1 回答 1

1

可以理解的是,这些现在很难暴露。它们位于 AzureActivity 表中(启用了 Azure 活动数据连接器)。

我们将很快通过一个特定于事件的新表使这变得更容易。

在此期间,这里有一个 KQL 片段,您可以使用它开始筛选 AzureActivity 表中事件的结果:

Azure活动 | 其中 _ResourceId 具有“Microsoft.SecurityInsights”,_ResourceId 具有“事件”

于 2020-06-15T10:32:01.743 回答