Erstellen und konfigurieren Sie ein Profil für die Sichtungssuche mit der Microsoft Defender for Endpoint -Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Sichtungssuchprofil automatisch mit Microsoft Defender for Endpointerstellen und konfigurieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können den Workflow für die Sichtungssuche verwenden, um Sichtungssuchen durchzuführen. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, sucht nach implementierenden Fähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchen aus, die auf dem konfigurierten Workflow basieren.

    Microsoft Defender for Endpoint stellt ein Sichtungssuchprofil für das Basissystem bereit, mit dem Sie die automatischen Sichtungssuchen konfigurieren können. Mit diesem Profil können Sie auf die zugehörigen Sichtungsinformationen für erkennbare Elemente einer Organisation zugreifen und auch die Sichtungen anderer Organisationen anzeigen.

    Prozedur

    1. Navigieren zu Integrationen > Sichtungssuche: Konfiguration.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die folgenden Felder des Formulars aus.
      Tabelle : 1. Formular „Konfigurationen für Sichtungssuche“.
      Feld Beschreibung
      Name Name für das Sichtungssuchprofil.
      Ist gespeicherte Suche Option zum Speichern der Suchkonfiguration. Die gespeicherten Suchkonfigurationsabfragen sind Beispielabfragen. Sie können sie durch die Parameter für Ihre Umgebung ersetzen und nach Bedarf zusätzliche gespeicherte Suchkonfigurationen erstellen.
      Sichtungssuchquelle Die Quelle, die für die Sichtungssuche in der Integration Microsoft Defender for Endpoint konfiguriert ist.
      Suchen Native Suchzeichenfolge, die eine Abfrage formt.
      Aktiv Option zum Aktivieren der gespeicherten Suchkonfiguration. Nur aktive Suchkonfigurationen können eine Sichtungssuche durchführen.
      Erkennbarer Typ Typ der Kategorie erkennbarer Elemente. Zum Beispiel IP-Adresse, Hash-Wert, URL und Domänenname.
      Maximales erkennbares Element pro Suche Maximale Anzahl erkennbarer Elemente, die Sie in einer Suchabfrage anzeigen können. Legen Sie diesen Wert für diese Integration auf 1 fest.
      Sichtungssuchparameter Parameter zum Definieren komplexerer Abfragen, die Logik und andere Operatoren enthalten, die vom angegebenen Protokollspeicher unterstützt werden.
    4. Klicken Sie auf Absenden.