Konfigurieren Sie die Funktion „Hostisolierung entfernen“ in Microsoft Defender for Endpoint

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Entfernen Sie bei Bedarf die Isolierung eines Hosts, der zuvor in Microsoft Defender for Endpointvom Netzwerk isoliert war. Sie können andere böswillige Aktivitäten oder potenzielle Angriffe auf andere Hosts verhindern.

    Vorbereitungen

    Tabelle : 1. Anforderungen für die Fähigkeit „Isolierung entfernen“.
    Fähigkeit Erforderliche Eingabe Beschreibung
    Isolation entfernen Anmerkung (Erforderlich) Kommentar, der der Aktion zugeordnet werden soll.

    Erforderliche Rolle: sn_si.admin oder sn_si.analyst

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den Microsoft Defender for Endpoint-Informationen überprüfen möchten.
    3. Klicken Sie im Abschnitt Zugehörige Links auf EDR-Profil(e) ausführen.
    4. Wählen Sie ein Profil mit der Fähigkeit „Isolierung entfernen“ aus der Liste der verfügbaren Profile aus, und klicken Sie auf Absenden.
      Abbildung : 1. Isolation entfernen
      Entfernen Sie die Isolierungsfunktion in Microsoft Defender für Endpunkt
      Alternativ können Sie die folgenden Schritte ausführen:
      1. Klicken Sie im Abschnitt „ Zugehörige Listen“ auf Alle zugehörigen Listen anzeigen.
      2. Klicken Sie auf die zugehörige Liste Configuration Item.
      3. Wählen Sie Isolierung entfernen aus, und wählen Sie die entsprechenden Fähigkeiten aus.
    5. Validieren Sie die Automatisierungsaktivität und den Aktivitätenbereich.
    6. Zeigen Sie die Daten an, und validieren Sie die Details des isolierten Hosts in den zugehörigen Listen.
    7. Validieren Sie die Automatisierungsaktivitäten der Ausführung.