Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in Microsoft Defender for Endpoint durch, um die Verbreitung einer Bedrohung im Zeitverlauf zu bestimmen.
Warum und wann dieser Vorgang ausgeführt wird
Die folgenden erkennbaren Elemente werden unterstützt:
Prozedur
-
Navigieren Sie zu Security Incidents.
-
Öffnen Sie einen vorhandenen SIR, oder erstellen Sie einen neuen SIR.
-
Klicken Sie in den zugehörigen Links auf IoC anzeigen.
-
Klicken Sie auf die zugehörigen Listen Zugeordnete erkennbare Elemente.
-
Wählen Sie die erkennbaren Elemente aus.
-
Klicken Sie in der Liste „Aktionen“ auf Ergänzung erkennbarer Elemente ausführen.
-
Wählen Sie die erkennbaren Elemente unter Aktion für ausgewählte Zeilen aus, und klicken Sie auf Sichtungssuche ausführen.
Hinweis: Die Sichtungssuche wird für die erkennbaren Elementtypen Domänenname, IP-Adresse (V4), IP-Adresse (V6), MD5-Hash, SHA1-Hash bzw. SHA256-Hash unterstützt.
-
Geben Sie den Zeitrahmen für die Suche an, und klicken Sie auf Suchen.
Hinweis: Microsoft Defender für Endpunkt unterstützt nur die Sichtungssuche für die letzten 30 Tage. Wenn Ihre Bereichsabfrage vor den letzten 30 Tagen liegt, ruft die Sichtungssuche keine Daten ab. Wenn sich Ihre Bereichsabfrage mit den letzten 30 Tagen überschneidet, werden nur die Sichtungen der letzten 30 Tage abgerufen. Wenn Ihre Bereichsabfrage innerhalb der letzten 30 Tage liegt, werden die Sichtungen ab der definierten Startzeit bis zur aktuellen Zeit abgerufen.
-
Validieren Sie nach Abschluss der Suche die Ergebnisse und Details in den zugehörigen Listen.
-
Klicken Sie auf Sichtungssuchdetails, um die Details der Sichtungssuche anzuzeigen.
-
Klicken Sie auf die Registerkarte Sichtung, um Details und die Registerkarte Sichtungssuchergebnisse zu erhalten, um die Suchergebnisse anzuzeigen.
Zusätzliche Informationen zu der jeweiligen Sichtung können Sie im Feld Zusammenfassung anzeigen.