Führen Sie eine automatische Anreicherung erkennbarer Elemente in durch Microsoft Defender for Endpoint

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Führen Sie eine automatische Anreicherung erkennbarer Elemente in Microsoft Defender for Endpoint durch, um erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen Quellen anzureichern.

    Vorbereitungen

    Stellen Sie sicher, dass die Systemeigenschaft Security Incident Response aktiviert ist. Diese Option löst die Fähigkeit zur Ergänzung erkennbarer Elemente in SIR aus, wenn ein erkennbares Element einem Security Incident zugeordnet wird.

    Erforderliche Rolle: sn_si.admin, sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können diese Funktionalität während bei der Reaktion auf Incidents während Untersuchungen verwenden, um eine identifizierte Bedrohung einzudämmen. Wenn dem Security Incident neue erkennbare Elemente zugeordnet werden, können Sie die automatische Ausführung der Ergänzung erkennbarer Elemente in Microsoft Defender für Endpoint aktivieren.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie mit den Microsoft Defender für Endpunkt-Informationen überprüfen möchten.
    3. Validiert die Automatisierungsaktivität, sobald die neuen erkennbaren Elemente dem Security Incident zugeordnet wurden.
    4. Zeigen Sie die Ergebnisse der Ergänzung in der zugehörigen Liste „Indikatoren“ des Security Incident an.
      Weitere Informationen zur Ergänzung erkennbarer Elemente finden Sie in der folgenden Tabelle.
      Tabelle : 1. Microsoft Defender-Indikator
      Feld Beschreibung
      Indikator-ID Identität der Indikatorentität. Klicken Sie auf Öffnen, um den Datensatz in Details in der Instanz Now Platform anzuzeigen
      Erkennbares Element Das dem Ergebnis zugeordnete erkennbare Element.
      Titel Titel für den Indikator.
      Indikatortyp Typ des Indikators.
      Aktion Vom Indikator durchgeführte Aktion.
      Empfohlene Aktion Empfohlene Aktionen für den Indikator.
      Integrationslieferant Integration der Defender-Quelle, aus der die Daten abgerufen werden.
      Ablaufdatum Ablaufzeit für den Indikator.
      Abrufdatum Datum, an dem der Ergänzungsdatensatz erstellt wird.