Configurer l’option Obtenir les ordinateurs connexes à partir de Defender dans Microsoft Defender pour point de terminaison

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Obtenir la liste des ordinateurs associés à des observables spécifiques.

    Avant de commencer

    Remarque :
    Les types d’observables pris en charge sont le nom de domaine, le hachage SHA1 et le nom d’utilisateur.
    Rôle requis : sn_si.admin ou sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez récupérer la liste des ordinateurs qui ont accédé aux observables particuliers. Vous pouvez stocker la liste dans la table Détails des ordinateurs associés Microsoft Defender pour point de terminaison. Vous pouvez déclencher l’aptitude Obtenir les ordinateurs connexes à partir de Defender à partir de la liste connexe Observables associés.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations sur Microsoft Defender pour point de terminaison.
      Figure 1. Obtenir les ordinateurs connexes de Defender
      Obtenir les ordinateurs connexes à partir de l’implémentation de l’aptitude Defender
    3. Dans la section Liens connexes, cliquez sur Afficher IoC.
    4. Cliquez sur la liste connexe Observables associés.
    5. Sélectionnez les observables associés.
    6. Dans la liste Actions, sélectionnez l’option Obtenir les ordinateurs connexes à partir de Defender .
    7. Validez l’activité et la section Activités d’automatisation.
    8. Affichez les données et validez les détails des ordinateurs connexes Microsoft Defender pour point de terminaison sur les listes connexes.
    9. Affichez les activités d’automatisation de l’exécution et validez-les.