Como criar Indicadores em Microsoft Defender for Endpoint

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Crie indicadores de observáveis associados do incidente de segurança usando o Microsoft Defender for Endpoint.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.analyst

    Por Que e Quando Desempenhar Esta Tarefa

    A integração Microsoft Defender for Endpoint permite o aprimoramento de observável para todos os tipos de observável que são mapeados no módulo de mapeamento Observable-Indicator.

    Criar indicadores fornece a capacidade de definir uma lista de indicadores para detecção e para bloqueio de prevenção e respostas. Você pode criar os indicadores do observável associado do incidente de segurança.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que contém os observáveis para os quais você deseja criar indicadores no Microsoft Defender para Endpoint.
    3. Clique nas listas relacionadas a Observáveis associados.
    4. Adicione observáveis existentes ou crie novos observáveis.
    5. Selecione os observáveis.
    6. Em Ações em linhas selecionadas, clique em Criar indicador no Microsoft Defender.
      Exibição de entregas associadas: selecione Criar indicadores no Microsoft Defender para endpoint na lista Ações.
    7. No formulário, preencha os campos.
      Campo Descrição
      Observáveis selecionados Observáveis afetados. Esta ação pode ser usada para criar indicadores para vários observáveis. Se você quiser desmarcar um observável, poderá fazer isso desmarcando os observáveis da lista.
      Nota:
      Se os tipos de observável compatíveis não forem mapeados, os indicadores não serão criados no Microsoft Defender para esses observáveis.
      Título Título do indicador.
      Descrição Descrição do indicador.
      Tempo de expiração Tempo de expiração do indicador.
      Ações recomendadas Ações recomendadas que devem ser realizadas para o indicador.
      Origem Configuração de integração para criar o indicador.
      Ação Ações que serão executadas se o indicador for descoberto na organização. Os valores possíveis são os seguintes:
      • Aviso
      • Bloquear
      • Auditoria
      • 'BloquearERemediar
      • Permitido
      Aplicação A aplicação Microsoft Defender for Endpoint associada ao indicador. Este campo é aplicável somente para um novo indicador e não pode ser usado para um indicador existente.
      Gravidade Gravidade do indicador. Os valores possíveis são os seguintes:
      • Baixo(a)
      • Média
      • Alto
      Nomes dos grupos do RBAC Nomes dos grupos RBAC aos quais o indicador será aplicado. Os nomes estão em uma lista separada por vírgulas.
    8. Clique em Criar indicador
    9. Valide a atividade e as mensagens de IU.
    10. Clique na guia Indicador do Microsoft Defender para exibir os resultados.