Créer des indicateurs dans Microsoft Defender for Endpoint

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Créez des indicateurs à partir des observables associés de l’incident de sécurité à l’aide du Microsoft Defender for Endpoint.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    L’intégration Microsoft Defender for Endpoint permet d’enrichir les observables pour tous les types d’observables mappés dans le module de mappage observable-indicateur.

    Les indicateurs de création vous permettent de définir une liste d’indicateurs pour la détection, ainsi que pour bloquer la prévention et les réponses. Vous pouvez créer les indicateurs à partir d’un observable associé de l’incident de sécurité.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez créer des indicateurs dans Microsoft Defender for Endpoint.
    3. Cliquez sur les listes connexes Observables associés.
    4. Ajoutez des observables existants ou créez de nouveaux observables.
    5. Sélectionnez les observables.
    6. Dans les actions sur les lignes sélectionnées, cliquez sur Créer un indicateur dans Microsoft Defender.
      Vue des livrables associés : Sélectionnez Créer des indicateurs dans Microsoft Defender for Endpoint dans la liste Actions.
    7. Remplissez les champs du formulaire.
      Champ Description
      Observables sélectionnés Observables qui sont affectés. Cette action peut être utilisée pour créer des indicateurs pour plusieurs observables. Si vous souhaitez désélectionner un observable, vous pouvez le faire en désélectionnant les observables dans la liste.
      Remarque :
      Si les types d’observables pris en charge ne sont pas mappés, les indicateurs ne sont pas créés dans Microsoft Defender pour ces observables.
      Titre Titre de l’indicateur.
      Description Description de l’indicateur.
      Délai d'expiration Délai d’expiration de l’indicateur.
      Actions recommandées Actions recommandées qui doivent être effectuées pour l’indicateur.
      Source Configuration de l’intégration pour créer l’indicateur.
      Action Actions qui seront effectuées si l’indicateur est découvert dans l’organisation. Les valeurs possibles sont les suivantes :
      • Avertir
      • Bloc
      • Audit
      • 'BlockAndRemediate
      • Autorisé
      Application L’application Microsoft Defender for Endpoint associée à l’indicateur. Ce champ ne s’applique qu’à un nouvel indicateur et ne peut pas être utilisé pour un indicateur existant.
      Gravité Gravité de l’indicateur. Les valeurs possibles sont les suivantes :
      • Faible
      • Moyenne
      • Élevée
      Noms de groupes RBAC Noms des groupes RBAC auxquels l’indicateur sera appliqué. Les noms sont dans une liste séparée par des virgules.
    8. Cliquer sur Créer un indicateur
    9. Validez les messages d’activité et d’interface utilisateur.
    10. Cliquez sur l’onglet Indicateur Microsoft Defender pour afficher les résultats.