Effectuer un enrichissement automatique de l’observable dans Microsoft Defender for Endpoint

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Effectuez un enrichissement automatique des observables pour Microsoft Defender for Endpoint enrichir les observables avec des informations supplémentaires tirées de diverses sources.

    Avant de commencer

    Vérifiez que vous avez activé la propriété système Réponse aux incidents de sécurité . Cette option déclenche l’aptitude d’enrichissement des observables dans SIR, chaque fois qu’un observable est associé à un incident de sécurité.

    Rôle requis : sn_si.admin, sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser cette aptitude au cours des enquêtes de réponse à un incident pour contenir une menace identifiée. Lorsque de nouveaux observables sont associés à l’incident de sécurité, vous pouvez activer l’exécution automatique de l’enrichissement des observables dans Microsoft Defender for Endpoint.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les informations de Microsoft Defender for Endpoint.
    3. Validez l’activité d’automatisation une fois que les nouveaux observables ont été associés à l’incident de sécurité.
    4. Affichez les résultats de l’enrichissement dans la liste connexe Indicateurs de l’incident de sécurité.
      Vous pouvez utiliser la table suivante pour plus d’informations sur l’enrichissement des observables.
      Tableau 1. Indicateur Microsoft Defender
      Champ Description
      ID de l'indicateur Identité de l’entité de l’indicateur. Cliquez sur Ouvrir pour afficher l’enregistrement en détail dans l’instance ServiceNow AI Platform
      Observable L’observable associé au résultat.
      Titre Titre de l’indicateur.
      Type d'indicateur Type de l’indicateur.
      Action Action effectuée par l’indicateur.
      Action recommandée Actions recommandées pour l’indicateur.
      Fournisseur de l'intégration Intégration source de Defender à partir de laquelle les données sont récupérées.
      Date d'expiration Délai d’expiration de l’indicateur.
      Date de récupération Date de création de l’enregistrement d’enrichissement.