Führen Sie eine automatische Ergänzung erkennbarer Elemente in durch Microsoft Defender for Endpoint

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Führen Sie eine automatische Ergänzung erkennbarer Elemente in Microsoft Defender for Endpoint durch, um erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen Quellen anzureichern.

    Vorbereitungen

    Vergewissern Sie sich, dass Sie die Systemeigenschaft Security Incident Response aktiviert haben. Diese Option löst die Fähigkeit zur Ergänzung erkennbarer Elemente in SIR aus, wenn ein erkennbares Element einem Security Incident zugeordnet wird.

    Erforderliche Rolle: sn_si.admin, sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können diese Funktion während Untersuchungen der Reaktion auf Incidents verwenden, um eine identifizierte Bedrohung einzudämmen. Wenn dem Security Incident neue erkennbare Elemente zugeordnet werden, können Sie die Ergänzung erkennbarer Elemente in der Microsoft Defender for Endpoint-Fähigkeit zur automatischen Ausführung aktivieren.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den Microsoft Defender for Endpoint-Informationen überprüfen möchten.
    3. Validieren Sie die Automatisierungsaktivität, sobald die neuen erkennbaren Elemente dem Security Incident zugeordnet wurden.
    4. Zeigen Sie die Ergebnisse der Anreicherung in der zugehörigen Liste Indikatoren des Security Incident an.
      In der folgenden Tabelle finden Sie weitere Informationen zur Ergänzung erkennbarer Elemente.
      Tabelle : 1. Microsoft Defender-Indikator
      Feld Beschreibung
      Indikator-ID Identität der Indikatorentität. Klicken Sie auf Öffnen, um den Datensatz in der Instanz Now Platform detailliert anzuzeigen
      Erkennbares Element Das dem Ergebnis zugeordnete erkennbare Element.
      Titel Titel für den Indikator.
      Indikatortyp Typ des Indikators.
      Aktion Vom Indikator ausgeführte Aktion.
      Empfohlene Aktion Empfohlene Aktionen für den Indikator.
      Integrationslieferant Integration der Defender-Quelle, aus der die Daten abgerufen werden.
      Ablaufdatum Ablaufzeit für den Indikator.
      Abrufdatum Datum, an dem der Ergänzungsdatensatz erstellt wurde.