Konfigurieren Sie Profile und Security Incidents für die Microsoft Defender for Endpoint -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie die Fähigkeiten Microsoft Defender for Endpoint aus, die das Profil ausführen soll. Sie müssen die Einstellungen so konfigurieren, dass das Profil nur unter den definierten Bedingungen ausgelöst werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.analyst (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Konfigurieren Sie das Profil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Bei Bedarf können Sie ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen und Filterbedingungen festlegen, damit das Profil automatisch ausgelöst werden kann, wenn ein Security Incident erstellt wird, der die Auslöserbedingungen erfüllt.

    Hinweis:
    Sie können erst zur Seite „Profilkonfiguration“ navigieren, nachdem Sie die Seite „Profildetails“ aufgerufen haben.

    Prozedur

    1. Navigieren zu Microsoft Defender für Endpunkt > Fähigkeitsprofile.
    2. Klicken Sie nach Abschluss des Abschnitts „Profildetails“ auf Weiter.
      Überprüfen und konfigurieren Sie die Abschnitte.
    3. Wählen Sie im Abschnitt „Incident-Kriterien definieren (Automatisierung)“ die Option Incident-Kriterien definieren aus, um Microsoft Defender for Endpoint -Fähigkeiten im Profil automatisch auszulösen.
      Incident-Kriterien definieren (Automatisierung): Definieren Sie die Bedingungen für Security Incidents, die automatisch die Microsoft Defender for Endpoint-Fähigkeiten für das Profil auslösen. Wenn Sie die Option Incident-Kriterien definieren nicht auswählen, können das Profil und die zugrunde liegenden Fähigkeiten manuell über den Security Incident aufgerufen werden.
      Hinweis:
      Die Funktionen „Host isolieren“ und „Hostisolierung entfernen“ können nicht automatisch ausgelöst werden.
      1. Wählen Sie in den Filterbedingungendas erforderliche Feld aus.
      2. Fügen Sie neue Kriterien hinzu, und definieren Sie auch die ODER- oder UND- Bedingung.
    4. Aktivieren Sie im Abschnitt „Genehmigungen“ das Kontrollkästchen Genehmigung erforderlich, um eine zusätzliche Steuerungsebene bereitzustellen.

      Wenn Sie diese Option auswählen, haben Sie mehr Kontrolle bei der Verwendung der Microsoft Defender for Endpoint-Fähigkeiten zum Isolieren von Hostcomputern, Wiederherstellen im Netzwerk und Abrufen von Dateien.

      Die Option Genehmigungen in der Profilkonfiguration wird nur für die Funktionen „Host isolieren“ und „Hostisolierung entfernen“ angezeigt.

    5. Wählen Sie im Abschnitt „Zusätzliche Konfiguration“ die Option Alternatives Feld definieren aus, um ein alternatives Eingabefeld zu definieren.
      Zusätzliche Konfiguration: Wenn das Feld Configuration Item (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um die Microsoft Defender for Endpoint-APIs abzufragen .
      Hinweis:
      Weitere Informationen finden Sie unter Auslösebedingungen in einem Konfigurationselement.
      1. Wählen Sie die Option Alternatives Feld definieren aus.
      2. Wählen Sie das Eingabefeld aus Alternatives CI-Auslöserfeld.
    6. Aktivieren Sie im Abschnitt Tags die Checkbox Tag anzeigen, um die Kennzeichnung von Security Incidents zu aktivieren. Der Profilname wird bei Aktivierung des Tags vorangestellt.

      Sie können Security Incidents optional mit Tags für Profil initiiert, Profil abgeschlossen und Profil fehlgeschlagen versehen. Standardmäßig ist diese Option für alle Profile deaktiviert.

    7. Klicken Fertig.