Sélectionnez un ou plusieurs observables et effectuez une recherche Microsoft Defender for Endpoint manuelle de perception pour déterminer la prévalence d’une menace au fil du temps.
Pourquoi et quand exécuter cette tâche
Les types d’observables pris en charge sont les suivants :
Procédure
-
Accédez aux incidents de sécurité.
-
Ouvrez un SIR existant ou créez-en un nouveau.
-
Dans les liens connexes, cliquez sur Afficher l’IoC.
-
Cliquez sur les listes connexes Observables associés.
-
Sélectionnez les observables.
-
Dans la liste Actions, cliquez sur Exécuter l’enrichissement de l’élément observable.
-
Sélectionnez les observables sous Action sur les lignes sélectionnées, puis cliquez sur Exécuter la recherche de perceptions.
Remarque : La recherche de perception est prise en charge pour les types d’observables de nom de domaine, d’adresse IP (V4), d’adresse IP (V6), de hachage MD5, de hachage SHA1 et de hachage SHA256 respectivement.
-
Spécifiez le délai de la recherche, puis cliquez sur Rechercher.
Remarque : Microsoft Defender for Endpoint ne prend en charge la recherche de perception que pour les 30 derniers jours. Si votre requête de plage est antérieure aux 30 derniers jours, la recherche de perception ne récupère aucune donnée. Si votre requête de plage chevauche les 30 derniers jours, les observations des 30 derniers jours uniquement sont récupérées. Si votre requête de plage date des 30 derniers jours, les observations comprises entre l’heure de début définie et l’heure actuelle sont récupérées.
-
Une fois la recherche terminée, validez les résultats et les détails dans les listes connexes.
-
Cliquez sur Détails de la recherche de perception pour afficher les détails de la recherche de perception.
-
Cliquez sur l’onglet Perception pour plus de détails et sur l’onglet Résultats de recherche de perceptions pour les résultats de recherche.
Vous pouvez afficher des informations supplémentaires relatives à une observation particulière dans le champ Résumé .