Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in Microsoft Defender for Endpoint durch, um die Verbreitung einer Bedrohung im Laufe der Zeit zu bestimmen.
Warum und wann dieser Vorgang ausgeführt wird
Folgende erkennbare Typen werden unterstützt:
Prozedur
-
Navigieren Sie zu Security Incidents.
-
Öffnen Sie eine vorhandene SIR, oder erstellen Sie eine neue SIR.
-
Klicken Sie in den zugehörigen Links auf IoC anzeigen.
-
Klicken Sie auf die zugehörigen Listen Zugeordnete erkennbare Elemente.
-
Wählen Sie die erkennbaren Elemente aus.
-
Klicken Sie in der Liste „Aktionen“ auf Anreicherung erkennbarer Elemente ausführen.
-
Wählen Sie die erkennbaren Elemente unter Aktion für ausgewählte Zeilen aus, und klicken Sie auf Sichtungssuche ausführen.
Hinweis: Die Sichtungssuche wird für die erkennbaren Elemente Domänenname, IP-Adresse (V4), IP-Adresse (V6), MD5-Hash, SHA1-Hash und SHA256-Hash unterstützt.
-
Geben Sie den Zeitrahmen für die Suche an, und klicken Sie auf Suche.
Hinweis: Microsoft Defender für Endpunkt unterstützt die Sichtungssuche nur für die letzten 30 Tage. Wenn Ihre Bereichsabfrage früher als die letzten 30 Tage ist, werden bei der Sichtungssuche keine Daten abgerufen. Wenn sich Ihre Bereichsabfrage mit den letzten 30 Tagen überschneidet, werden nur die Sichtungen der letzten 30 Tage abgerufen. Wenn Ihre Bereichsabfrage innerhalb der letzten 30 Tage liegt, werden die Sichtungen von der definierten Startzeit bis zur aktuellen Uhrzeit abgerufen.
-
Validieren Sie nach Abschluss der Suche die Ergebnisse und Details in den zugehörigen Listen.
-
Klicken Sie auf Details der Sichtungssuche, um die Details der Sichtungssuche anzuzeigen.
-
Klicken Sie auf die Registerkarte Sichtung, um Details anzuzeigen, und auf die Registerkarte Sichtungssuchergebnisse, um Suchergebnisse zu erhalten.
Sie können zusätzliche Informationen zu der jeweiligen Sichtung im Feld Zusammenfassung anzeigen.