Erstellen Sie ein Fähigkeitsprofil für die Integration Microsoft Defender for Endpoint .

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie die Microsoft Defender for Endpoint -Fähigkeiten aus, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Profile werden erstellt, um die Fähigkeiten zu vereinen oder zu gruppieren, was Analysten helfen würde, die Untersuchung oder Nachbesserung einfach durchzuführen. Sie können dem Profil die folgenden Fähigkeiten hinzufügen:
    • Hostdetails abrufen
    • Angemeldete Anwender abrufen
    • Host isolieren
    • Isolation entfernen
    Sie können die Fähigkeiten „Host isolieren“ und „Hostisolierung entfernen“ nicht mit anderen Fähigkeiten in Zusammenhang bringen, während Sie ein Profil erstellen. Profile für diese Fähigkeiten müssen einzeln erstellt werden. Die Funktionen „Hostdetails abrufen“ und „Angemeldete Anwender abrufen“ können hingegen zusammengefasst werden. Sie können Profile einzeln erstellen oder sie je nach Bedarf ganz oder teilweise zusammenstellen.
    Hinweis:
    Nachdem eine Fähigkeit in ein Profil aufgenommen wurde, kann sie in keinem anderen Profil aus derselben Quelle enthalten sein.

    Prozedur

    1. Navigieren zu Microsoft Defender für Endpunkt > Fähigkeitsprofilean.

      Die Liste der Microsoft Defender für Endpunkt-Fähigkeitenprofile wird angezeigt.

      Abbildung : 1. Profilkonfiguration
      Erstellen Sie ein neues Fähigkeitsprofil für die Microsoft Defender für Endpunkt-Integration
    2. Klicken Neuan.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Fähigkeitsprofil“.
      Feld Beschreibung
      Name Name für das Fähigkeitsprofil Microsoft Defender for Endpoint. Mit diesem Namen können Sie den Profiltyp identifizieren und beschreiben.
      Beschreibung Zusätzliche Informationen zum Profil, die das Profil weiter beschreiben.
      Quelle Name der Microsoft Defender for Endpoint -Quelle. Nur konfigurierte Quellen sind in der Liste verfügbar.
      Microsoft Defender für Endpunkt-Funktionen Fähigkeiten des Profils Microsoft Defender for Endpoint. Wählen Sie die gewünschten Fähigkeiten für dieses Profil aus der Spalte Verfügbar aus, und verschieben Sie sie in die Spalte Ausgewählt.
      Bestellung Flow-Priorität. Der Standardwert ist 100. Der Wert dieses Felds gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen.

      Der Flow mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Beispiel: 100, 200, 300, 400.
      Aktiv Option, um anzugeben, dass das Profil aktiv ist. Nach wird das Profil automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den Filterbedingungen entspricht, die Sie in der Konfiguration angegeben haben.
    4. Klicken Sie auf, um mit Profilkonfiguration fortzufahren Weiteran.

    Nächste Maßnahme

    Im nächsten Schritt konfigurieren Sie Ihr Profil. Bevor Sie die Einstellungen für das Profil konfigurieren, möchten Sie möglicherweise überprüfen, wie Profile sowie Bedingungen konfiguriert und auslösen. Weitere Informationen finden Sie unter Auslösebedingungen in einem Configuration Item.