Führen Sie eine manuelle Anreicherung erkennbarer Elemente in durch Microsoft Defender for Endpoint

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Anreicherung erkennbarer Elemente durch, um erkennbare Elemente mit zusätzlichen Informationen aus Microsoft Defender for Endpointanzureichern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Die Microsoft Defender for Endpoint -Integration ermöglicht die Anreicherung erkennbarer Elemente für alle Typen erkennbarer Elemente, die im Modul „Erkennbares Element – Indikatorzuordnung“ zugeordnet sind.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie mit den Microsoft Defender für Endpunkt-Informationen überprüfen möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen.
    4. Klicken Sie auf die Registerkarte Zugeordnete erkennbare Elemente.
    5. Wählen Sie die erkennbaren Elemente aus.
    6. Klicken Sie in der Liste „Aktionen“ auf Ergänzung erkennbarer Elemente ausführen.
    7. Wählen Sie eine Microsoft Defender für Endpunkt -Quelle aus, und verschieben Sie sie in die Spalte Ausgewählt, um anzugeben, welche Implementierung Sie zum Anreichern der ausgewählten erkennbaren Elemente verwenden möchten.
    8. Klicken Sie auf Absenden.
    9. Um den Status der Ausführung zu validieren, zeigen Sie die Arbeitsnotizen an.
    10. Um die Ergebnisse anzuzeigen, klicken Sie auf die Registerkarte Microsoft Defender-Indikator.
      Weitere Informationen zur Ergänzung erkennbarer Elemente finden Sie in der folgenden Tabelle.
      Tabelle : 1. Microsoft Defender-Indikator
      Feld Beschreibung
      Indikator-ID Identität der Indikatorentität. Klicken Sie auf Öffnen, um den Datensatz in Details in der Instanz Now Platform anzuzeigen
      Erkennbares Element Das dem Ergebnis zugeordnete erkennbare Element.
      Titel Titel für den Indikator.
      Indikatortyp Typ des Indikators.
      Aktion Vom Indikator durchgeführte Aktion.
      Empfohlene Aktion Empfohlene Aktionen für den Indikator.
      Integrationslieferant Integration der Defender-Quelle, aus der die Daten abgerufen werden.
      Ablaufdatum Ablaufzeit für den Indikator.
      Abrufdatum Datum, an dem der Ergänzungsdatensatz erstellt wird.